Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE LAS
COMUNICACIONES
ELECTRÓNICAS
ABREVIATURAS EMPLEADAS
ALSSICE Anteproyecto de Ley de Servicios de la Sociedad de la Información y del
Comercio Electrónico. Versión 18.01.2001
APD Agencia de Protección de Datos
BCCyb Borrador de Convenio sobre el Cibercrimen
CE Constitución Española
CEDH Convenio Europeo de Derechos Humanos 4 nov. 1.950
CGPJ Consejo General del Poder Judicial
CIA Central Intelligence Agency
CP Código Penal
DPD Directiva 95/46/CE, de 24 de octubre, de Protección de las personas físicas
frente al tratamiento de datos personales y a la libre circulación de los mismos
DOCE Diario Oficial de la Comunidad Europea
DT Directiva 97/66/CE, de 15 de diciembre, de tratamiento de datos personales
FBI Federal Bureau of Investigation
FGE Fiscalía General del Estado
FNMT Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda
IP Internet Protocol (Protocolo Internet)
LAN Local Area Network; Red de Área Local
LEC Ley de Enjuiciamiento Civil
LECr Ley de Enjuiciamiento Criminal
LGT Ley 11/1998, 24 de abril, General de Telecomunicaciones
LOPDP Ley Orgánica 15/1999, 13 diciembre, de Protección de Datos de Carácter
Personal
LOPJ Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial
LORTAD Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento
automatizado de datos de carácter personal
ME Memoria Explicativa (del Borrador de Convenio sobre el Cibercrimen)
NSA Agencia Nacional de Seguridad
OCDE Organización para la Cooperación y el Desarrollo Económico
RD Real Decreto
RDLFE Real Decreto Ley 14/1999, 7 septiembre, sobre firma electrónica
RDLey Real Decreto Ley
RDSI Red Digital de Servicios Integrados
STC Sentencia del Tribunal Constitucional
TC Tribunal Constitucional
TCE Tratado de la Comunidad Europea
TEDH Tribunal Europeo de Derechos Humanos
WAN Wide Area Network; Red de Área Dispersa
Fiscalia.Org Pág. 2
La intervención de las comunicaciones electrónicas
ÍNDICE DE CONTENIDOS
ABREVIATURAS EMPLEADAS 2
ÍNDICE DE CONTENIDOS 3
PARTE I: RÉGIMEN LEGAL DE PROTECCIÓN DEL DERECHO AL SECRETO DE LAS
COMUNICACIONES Y A LA PROTECCIÓN DE DATOS PERSONALES 6
1. INTRODUCCIÓN ............................................................................................................. 6
1.1. Globalización de las comunicaciones; personalización de los mensajes. Reflexiones
acerca del nuevo panorama de las comunicaciones ........................................................... 6
1.2. Convergencia de las señales de comunicación............................................................ 7
1.3. Competitividad y libre circulación.............................................................................. 7
1.4. El fenómeno Internet .................................................................................................. 8
1.5. Implicaciones legales. La reglamentación de un sector en continua evolución........ 10
1.6. La intimidad y la protección de datos ....................................................................... 10
2. EL MARCO REGULADOR............................................................................................ 11
2.1. Consejo de Europa .................................................................................................... 12
2.1.a) Convenios........................................................................................................... 12
2.1.b) Recomendaciones .............................................................................................. 13
2.2. Legislación comunitaria ............................................................................................ 14
2.2.a) Sobre comunicaciones electrónicas.................................................................... 14
2.2.b) Sobre protección de datos personales ................................................................ 16
5.2.c) Sobre comercio electrónico................................................................................ 17
2.3. Legislación nacional.................................................................................................. 18
2.3.a) Sobre comunicaciones electrónicas.................................................................... 18
2.3.b) Sobre protección de datos personales ................................................................ 20
3. LOS SUJETOS IMPLICADOS EN LAS COMUNICACIONES ELECTRÓNICAS .... 20
3.1. Usuarios y abonados.................................................................................................. 21
3.2. Los proveedores de servicios .................................................................................... 22
3.2.a) Los proveedores de servicios de comunicaciones electrónicas.......................... 24
3.2.b) Los proveedores de servicios de encaminamiento de señales ........................... 24
3.2.c) Los proveedores de acceso a Internet................................................................. 24
3.2.d) Los proveedores de servicios Internet................................................................ 25
3.3. Las empresas de servicios de valor añadido.............................................................. 25
3.4. Las autoridades públicas ........................................................................................... 26
4. LOS OBJETOS DE PROTECCIÓN................................................................................ 28
4.1. De las telecomunicaciones a las comunicaciones electrónicas ................................. 28
4.2. El contenido de las comunicaciones.......................................................................... 29
4.3. Los datos personales asociados a las comunicaciones electrónicas.......................... 29
4.3.a) Los datos de tráfico ............................................................................................ 29
4.3.b) Los datos de facturación .................................................................................... 32
4.3.c) Los datos de suscripción .................................................................................... 34
4.3.d) Los datos relativos a firmas electrónicas ........................................................... 35
5. LOS INSTRUMENTOS LEGALES DE PROTECCIÓN ............................................... 36
5.1.El derecho fundamental al secreto de las comunicaciones ........................................ 37
5.1.a) Las garantías genéricas de protección de la confidencialidad ........................... 37
5.1.b) El control judicial de la intervención de las comunicaciones ............................ 39
5.1.b.1. Control en la adopción de la medida........................................................... 39
5.1.b.2. Control en la ejecución de la medida .......................................................... 41
5.1.b.3. Control en la incorporación del material recogido al proceso .................... 41
5.1.c) Su recepción en la legislación sectorial de comunicaciones electrónicas.......... 41
Fiscalia.Org Pág. 3
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 4
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 5
La intervención de las comunicaciones electrónicas
1. INTRODUCCIÓN
1
La respuesta tecnológica a estas exigencias es el ancho de banda, es decir, en la cantidad de datos que pueden
transmitirse a velocidad razonable, imprescindible para la transmisión de las grandes cantidades de datos
digitales en que se convierten los contenidos informativos a los que se accede.
2
La comprensión de estos conceptos pasa, casi de forma ineludible, por la lectura obligada de la célebre obra de
Nicholas Negroponte El mundo digital, publicado en castellano por Ediciones B, Barcelona, 1.995.
Fiscalia.Org Pág. 6
La intervención de las comunicaciones electrónicas
para hacerle más cómoda y fácil su empleo. Con ello puede conseguir la fidelización del
usuario, que se siente tratado de acuerdo con sus gustos, tratado de forma no
despersonalizada, como ha acabado tratando a los usuarios la revolución industrial.
3
«Los "Pentium III" tendrán código de identificación». Diario El Navegante, 27 enero 1.999,
http://www.navegante/diario.htm. También «Aumenta la movilización social contra Intel y su Pentium III» en La
Brújula.net, 9 marzo 1999. «Identifíquese o salga de la red», en El País 9 de marzo de 1.999.
La preocupación por los tratamientos invisibles con motivos de vigilancia global se ha manifestado también en el
hallazgo de un fichero denominado «NSAkey» en los productos Microsoft. «Descubren una claves en Microsoft
que permite al Gobierno de EEUU espiar», en El País 5 de septiembre de 1999. ««Microsoft niega que se facilite
claves al espionaje norteamericano», en El País, 7 de septiembre de 1999.
4
Así se expresa en el Considerando 1º de la Directiva 97/66/CE de 13 de diciembre, relativa al tratamiento de
los datos personales y a la protección de la intimidad en el sector de las comunicaciones. El art. 1.1 de la
Directiva determina el objeto de la misma de la siguiente forma: « La presente Directiva establece la
armonización de las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de
protección de las libertades y de los derechos fundamentales y, en particular, del derecho a la intimidad, en lo
que respecta al tratamiento de los datos personales en el sector de las telecomunicaciones, así como la libre
circulación de tales datos y de los equipos y servicios de telecomunicación en la Comunidad»
5
De forma expresiva el Dictamen del Consejo Económico y Social sobre el «Libro Verde sobre la convergencia
de los sectores de telecomunicaciones, medios de comunicación y tecnologías de la información y sobre sus
consecuencias para la reglamentación en la perspectiva de la sociedad de la información» señala en su apartado
7.1.1 que «La protección del consumidor, la intimidad, etc., deberían abordarse adaptando la legislación
existente de forma que prime el interés público y garantice el crecimiento del mercado»
Fiscalia.Org Pág. 7
La intervención de las comunicaciones electrónicas
6
La propuesta de Directiva comunitaria relativa al servicio universal y a los derechos de los usuarios en relación
con las redes de servicios de comunicaciones electrónicas (COM(2000) 392 final, de 12 de julio de 2000), alude
a este derecho en su artículo 25.1: «Los Estados miembros velarán por que todos los abonados a servicios
telefónicos disponibles al público, incluidos los servicios de telefonía móvil, puedan conservar su número o
números, cuando así lo soliciten, con independencia de la empresa que preste el servicio: a) en una ubicación
específica, cuando se trate de números geográficos; b) en cualquier ubicación, si se trata de otro tipo de número».
Este derecho es actualmente reconocido por la legislación nacional (Ley 11/1998, General de
Telecomunicaciones) en su art. 33 en términos similares.
7
Aunque se ofrece una versión resumida del funcionamiento de Internet, puede consultarse en mayor extensión
la «Comunicación de la Comisión al Consejo y al Parlamento Europeo. La organización y gestión de Internet.
Cuestiones de política europea e internacional 1.998-2.000 COM (2000) 202 FINAL, 11 de abril de 2000.
8
El protocolo TCP permite la fragmentación de la comunicación en diversos paquetes, cada uno de ellos
identificado por una cabecera en la que se incluyen la dirección del remitente y la del destinatario, así como el
número de paquetes en que consiste la comunicación y su orden. La transmisión se realiza de forma dinámica,
buscándose las conexiones más eficientes (best effort) en cada momento, de forma que el usuario no puede
controlar la vía de acceso. La comunicación no requiere, por otra parte, que los comunicantes se hallen
conectados simultáneamente a la red.
El protocolo IP asigna un número de identificación único a cada máquina. Las direcciones IP identifican cada
ordenador conectado a la red, pero no de forma única permanentemente. Existen direcciones IP estáticas, que sí
son permanentes, de las que hacen uso personas o empresas que requieren una conexión continua a la red; en
tanto que los usuarios particulares emplean direcciones IP dinámicas, es decir, variables por sesión de
comunicación, que le son asignadas por su proveedor de acceso a Internet.
Las direcciones IP consisten en un número formado por 32 bits, un máximo de 12 dígitos. Ello proporciona un
rango de 4.300 millones de direcciones, que daría cobertura a la red hasta 2005. No obstante, el desarrollo de la
telefonía de tercera generación UMTS, los servicios de televisión y video por cable, y la adhesión de China y
Japón a la tecnología de telefonía referida han convertido en insuficiente el rango de direcciones. Por ello el
Consorcio W3C y su IETF (Internet Engineering Task Force, Grupo de Trabajo de Ingeniería Internet),
encargados de la elaboración de los estándares técnicos en que se basa la red, están desarrollando pruebas del
nuevo protocolo Ipv6, que por las direcciones de 128 bits permitirá disponer de 340 cuatrillones de direcciones
IP, suficientes para la asignación de una IP estática a cada aparato que se conecte a la Red. El inconveniente para
la intimidad de dicho protocolo es, nuevamente, la asignación de un código único de identificación para cada
terminal, favoreciendo el hallazgo de relaciones entre equipos y usuarios. Al respecto, véanse «El protocolo Ipv6
hará de Internet una red más estable y robusta», Ciberpaís, 8 de febrero 2.001
http://ciberpais.elpais.es/d/20010208/portada/portada.html e «Internet protocol proposal raises pruivacy
concerns» http://www.news.cnet.com/news/0-1005-200-852235.htm .
La identificación a los recursos Internet se efectúa mediante las DNS (Domain Name System, Sistema de
Nombres de Dominio). Cada ordenador identificado con una dirección IP recibe un nombre formado por una
Fiscalia.Org Pág. 8
La intervención de las comunicaciones electrónicas
las comunicaciones se organizaban en pequeños bloques que circulaban por los nodos de la
red buscando el mejor y más rápido camino de llegada, de forma que pudiera obviarse la caída
o destrucción de algunos de los centros de transmisión sin merma de la capacidad de
comunicación de toda la red.
La inclusión de los centros universitarios, así como de las empresas de informática en
dicha red, propiciaron su expansión por el mundo universitario y por la comunidad científica
internacional 9. La explosión de uso llegó en los años 90, donde se popularizó su empleo y se
comenzó a vislumbrar su potencialidad como base de transacciones comerciales 10.
Los numerosos servicios ofrecidos por la WWW permiten aprovechar al máximo las
características anteriormente expuestas. La personalización de los contenidos llega a su
máxima expresión.
No obstante, paradójicamente esa capacidad de personalización comporta riesgos
inusitados para la vida privada de los usuarios. La capacidad de recogida y procesamiento de
información aumentan considerablemente y permiten la elaboración, a través del análisis de
los datos de navegación (los recogidos durante el acceso a las páginas web, o a los foros de
noticias y salones de discusión –chat-forums–, o de las consultas realizadas a través de los
motores de búsqueda), de perfiles de personalidad destinados a la prospectiva comercial. En
muchos casos, esos tratamientos son realizados sin el conocimiento del usuario afectado
mediante los denominados «tratamientos invisibles de hardware y software», lo que puede
vulnerar los principios de protección de datos establecidos por los instrumentos legales
internacionales 11.
combinación de una denominación seguida de una referencia de dos o tres letras (.org, .com; .es) que aluden a
una actividad genérica (dominios de alto nivel: comunicaciones: .com; gobierno: .gov; organizaciones o
entidades: .org) o a una localización geográfica (España: .es; Europa: .eu; Italia: .it). Estas DNS, conocidas con
el nombre de URLs o direcciones Internet, permiten la traducción de las direcciones IP en denominaciones más
legibles por los usuarios (www.fiscalia.org). El recurso es mantenido por la industria privada a través de la
ICAAN (Internet Corporation for Asignation of Numbers and Names; Corporación Internet para la Asignación
de Números y Nombres).
9
La conocida World Wide Web (WWW) o telaraña mundial, es fruto del laboratorio CERN de la Universidad de
Ginebra. Sus miembros necesitaban un medio de acceder a la información de sus colegas en otras universidades,
para lo que idearon el protocolo http (Hiper Textual Transfer Protocol, Protocolo de Transferencia de
Hipertexto, por el que era posible, mediante la elaboración a enlaces a otros documentos, acceder a información
textual, sonora y gráfica alojada en otros ordenadores conectados.
10
Se alude de forma obligada al denominado «Informe Gore» sobre la National Information Infraestructure ,
Infraestructura Nacional de la Información, popularmente conocida como «autopista de la información», en el
que el vicepresidente norteamericano expuso a la nación el proyecto gubernamental de potenciación de las redes
de telecomunicaciones para su empleo por las empresas, la administración y la cultura.
Sobre este fenómeno y sus implicaciones, véase DAVARA RODRÍGUEZ, Miguel Ángel, «De las Autopistas
de la información a la Sociedad Virtual», Pamplona, 1.996.
11
Merecen destacarse las Recomendaciones del Consejo de Europa y del Grupo de Protección de Datos
Personales creado al amparo del art. 29 de la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,
relativas al fenómeno Internet. Así, la Recomendación (99)5 del Comité de Ministros de los Estados miembros
del Consejo de Europa sobre la protección de la intimidad en Internet. Y en el ámbito comunitario, la
Recomendación 3/1997sobre Anonimato en Internet (DGXV D/5022/97/ES/final WP6); el Dictamen 1/1998
sobre la Plataforma de Perfiles de Privacidad (P3P) y Normas de Perfiles Abierta (OPN) (DGXV
D/5032/98/WP11), y la Recomendación 1/1999 sobre el Tratamiento Invisible y Automático de Datos
Personales en Internet efectuado por software y hardware ( DGXV D/5013/99/ES/final/WP16); todos ellos del
Grupo de Trabajo del art. 29.
Fiscalia.Org Pág. 9
La intervención de las comunicaciones electrónicas
En el seno del Grupo Internacional de Trabajo sobre Protección de Datos en las Telecomunicaciones deben
igualmente citarse las Posiciones Comunes sobre la «Protección de Datos y los motores de búsqueda en
Internet», adoptada en la 23 Reunión del IWP en Hong Kong el 15 de abril de 1.998; y la Posición Común
relativa a los «Perfiles On-line en Internet», adoptada durante la 27 reunión mantenida en Creta el 5 de mayo de
2000.
Estos documentos pueden consultarse en las Memorias de la Agencia de Protección de Datos de 1.998 y 1.999,
así como en el site de la DGXV http://www.europa.eu.int/dg15/en/media/dataprot/index.htm
12
«Privacidad en Internet: enfoque comunitario integrado de la protección de datos en línea», adoptado por el
Grupo de Trabajo del art. 29 el 21 de noviembre de 2000, DGXV D/5063/00/ES/FINAL WP37.
Fiscalia.Org Pág. 10
La intervención de las comunicaciones electrónicas
capacidad tecnológica que permita la investigación de los ilícitos que se cometan en la red, así
como la averiguación de sus responsables.
Las normas de protección de datos personales se constituyen, por ello, en la primera
barrera de protección de la vida privada. A través de sus normas, armonizadas por medio de
instrumentos normativos comunitarios, los ciudadanos de la Comunidad Europea gozan de un
nivel adecuado de protección, pudiendo hacer uso de los mismos derechos y facultades en
todo el territorio ante las autoridades internas o del Estado del que procede el ataque a su
intimidad.
Como quiera que las operaciones de comunicación comportan distintos tratamientos de
datos (previos a la comunicación –inclusión en servicios de guía o directorio de información
de datos de identificación de abonados–; durante la transmisión –datos de tráfico,
identificación de llamadas entrantes y líneas conectadas–; y con posterioridad –facturación,
oferta de servicios de valor añadido–), estas normas serán las determinantes del nivel de
protección atribuido por la conciencia social a la vida privada en un entorno de
comunicaciones. Los procesos judiciales, especialmente los penales, habrán de tener sus
contenidos muy en cuenta como «normas informacionales de primer nivel», en tanto no se
cuente con normas procesales propias relativas al uso de medios informatizados como
herramientas de investigación 13
Las páginas siguientes van destinadas a proporcionar una aproximación al marco
regulador de protección de la vida privada, en su manifestación de secreto de las
comunicaciones y de la protección de datos personales a ellas asociadas
2. EL MARCO REGULADOR
Fiscalia.Org Pág. 11
La intervención de las comunicaciones electrónicas
14
D.O.C.E. L 178/1, de 17/07/2000.
Fiscalia.Org Pág. 12
La intervención de las comunicaciones electrónicas
15
MORENILLA RODRÍGUEZ, José María, «El derecho al respeto de la esfera privada en la jurisprudencia del
Tribunal Europeo de Derechos Humanos», en Cuadernos del CGPJ 11, Madrid, 1993, págs. 318-321.
Fiscalia.Org Pág. 13
La intervención de las comunicaciones electrónicas
16
COM (2000) 393 Final, de 12 de julio de 2000.
Fiscalia.Org Pág. 14
La intervención de las comunicaciones electrónicas
17
COM (2000) 384 Final, de 12 de julio de 2000.
18
COM (2000) 392 Final, de 12 de julio de 2000.
19
Precisa el Considerando 7 de la propuesta de Directiva relativa al marco regulador para las redes y los
servicios de comunicaciones electrónicas: «La convergencia de los sectores de telecomunicaciones, medios de
comunicación y tecnologías de la información supone que todos los servicios y las redes de transmisión estén
sometidos a un único marco regulador. [...]Es necesario separar la regulación de la transmisión de la regulación
de los contenidos. Por consiguiente, este marco no cubre el contenido de los servicios prestados a través de las
redes de comunicaciones electrónicas utilizando los servicios de comunicaciones electrónicas, tales como los
contenidos radiodifundidos, los servicios financieros y determinados servicios de la sociedad de la información.
[...]La separación entre la regulación de la transmisión y la regulación de los contenidos no es óbice para tener en
cuenta los vínculos que existen entre ambas. »
20
A tal fin se establece, en el art. 25 de la propuesta de directiva sobre el servicio universal el derecho al
mantenimiento del mismo número de abonado, de acuerdo con lo previsto en el considerando 28.
21
En consonancia con los principios de protección de datos personales, se prevé el derecho de los usuarios a
decidir la cantidad y calidad de los datos a incluir en las guías de abonados, de conformidad con la regulación
específica (considerando 7), debiendo establecerse un servicio público de información de los contenidos de
dichas guías (art. 21), que deberá igualmente respetar la legislación sobre protección de la intimidad y los datos
personales.
Fiscalia.Org Pág. 15
La intervención de las comunicaciones electrónicas
22
(2000/C 364/01).
23
Artículo 7
Respeto de la vida privada y familiar
«Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus
comunicaciones.»
Artículo 8
Protección de datos de carácter personal
«1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a
acceder a los datos recogidos que la conciernan y a su rectificación.
3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.»
24
Artículo 286 (antiguo artículo 213 B)
«1. A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto
del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones
y organismos establecidos por el presente Tratado o sobre la base del mismo.
2. Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecer, con arreglo al procedimiento
previsto en el articulo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de
dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptar, en su caso, cualesquiera
otras disposiciones pertinentes.
25
COM (2000) 385 final, de 12 de julio de 2000.
26
Esta postura es objeto de crítica por el Grupo de Protección de las Personas del art 29 de la Directiva
95/46/CE, que en su Dictamen 7/2000 (5042/00/ES/Final WP 36) sobre la propuesta, consideró la especial
importancia que están tomando las redes privadas en el tratamiento de datos personales, a las que no se le
Fiscalia.Org Pág. 16
La intervención de las comunicaciones electrónicas
podrían aplicar las disposiciones específicas de la directiva 97/66/CE (control de tráfico de datos,
confidencialidad de las comunicaciones en el ámbito de las redes privadas de empresas que hacen uso de LANs
o WANs), sin que en la directiva general existan criterios aplicables a estos aspectos
27
Recientemente ha sido reafirmado este criterio por la Comisión Europea, en respuesta a la pregunta escrita
formulada por el Grupo PPE-DE en la sesión de 11 de febrero de 2000 (pregunta escrita E-0312/00; DOCE C
330E/119, de 21 de noviembre).
28
Esta conexión es puesta de manifiesto en el Considerando 9 de la Propuesta de Directiva sobre un marco de
regulación común de las redes y servicios de comunicaciones electrónicas COM (2000) 393 Final.
Fiscalia.Org Pág. 17
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 18
La intervención de las comunicaciones electrónicas
29
Un estudio pormenorizado de los documentos electrónicos y firmas electrónicas, contemplados desde el plano
procesal civil y penal puede hallarse en HERNÁNDEZ GUERRERO, Francisco J. , Documentos y firmas
electrónicas, http://www.fiscalia.org/doctdocu/doct/docelectro.pdf
30
Accesible a través de la página web de la Secretaría de Estado para la Sociedad de la Información
http://www.mcyt.es
Fiscalia.Org Pág. 19
La intervención de las comunicaciones electrónicas
31
El art. 4.3 del RMS determina que «Los ficheros que contengan datos de ideología, religión, creencias, origen
racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento
de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel
alto.
Fiscalia.Org Pág. 20
La intervención de las comunicaciones electrónicas
32
Esta definición es la recogida, igualmente, en los catálogos de definiciones de los respectivos arts. 2 de las
propuestas de Directivas relativas al marco regulador común para las redes y servicios de comunicaciones
electrónicas, y al servicio universal y los derechos de los usuarios en relación con los mismos.
33
En términos muy similares, la propuesta de Directiva relativa al tratamiento de los datos personales y la
protección de la intimidad en el sector de las comunicaciones electrónicas.
Fiscalia.Org Pág. 21
La intervención de las comunicaciones electrónicas
intimidad y protección de datos sólo se confieren a las personas físicas 34 -las personas
jurídicas sólo ven reconocida la protección de sus legítimos intereses jurídicos 35, en parte
porque se admite la protección de la intimidad de los usuarios incluso frente a los abonados 36
3.2. Los proveedores de servicios
En las nueva sociedad de la información las empresas que operan en el mercado pueden
intercambiar sus papeles y proporcionar varios. A diferencia de la situación anterior, donde
los operadores de redes sólo proporcionaban acceso al servicio telefónico, en la actualidad
pueden arrendar líneas a otros operadores, proporcionar acceso a Internet, servicios web
(alojamiento o hosting de páginas o fórums), motores de búsqueda, directorios de información
personal, o cualquier otro servicio.
Por su interés, reproducimos el cuadro explicativo elaborado por el Grupo de Protección
de las Personas del art. 29, donde se reflejan los sujetos, sus funciones en el proceso
comunicativo, sus actividades de tratamiento de datos y los preceptos de las Directivas que les
son de aplicación 37
34
Debe citarse el Considerando 2 de la Directiva 95/46/CE: «Considerando que los sistemas de tratamiento de
datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas
físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y
contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los
individuos»
35
Considerandos 6 y 7 de la propuesta de Directiva relativa al tratamiento de datos y protección de la intimidad
en el sector de las comunicaciones electrónicas.
36
Se plantea la posibilidad de poder solicitarse no recibir facturas detalladas o desglosadas que impidan al titular
o abonado del servicio conocer las llamadas efectuadas por algún usuario del mismo. Algo útil en el ámbito de
las empresas o de los establecimientos abiertos al público (como hoteles).
El art. 7 de la Directiva 97/66/CE establece, a este respecto:
«1. Los abonados tendrán el derecho a recibir facturas no desglosadas.
2. Los Estados miembros aplicarán las disposiciones nacionales a fin de reconciliar los derechos de los
abonados que reciban facturas desglosadas con el derecho a la intimidad de los usuarios que efectúen llamadas y
de los abonados que reciban llamadas, por ejemplo, garantizando que dichos usuarios y abonados dispongan de
suficientes otras modalidades de comunicación o de pago.»
37
GRUPO DE PROTECCIÓN DE DATOS, «Privacidad en Internet. Enfoque comunitario integrado de la
protección de datos en línea», 5063/00/ES/FINAL WP37.
Fiscalia.Org Pág. 22
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 23
La intervención de las comunicaciones electrónicas
38
Las redes de comunicaciones electrónicas son definidas en la propuesta de Directiva sobre el marco regulador
para las redes de servicios y comunicaciones electrónicas (art. 2.a)) como « los sistemas de transmisión y,
cuando proceda, los equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de
señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las
redes satelitales, redes terrenales fijas (de conmutación de circuitos y de paquetes, incluyendo Internet) y
móviles, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con
independencia del tipo de información transportada»
39
Propuesta de Directiva relativa al acceso a las redes y servicios de comunicaciones electrónicas.
Fiscalia.Org Pág. 24
La intervención de las comunicaciones electrónicas
La prestación de estos servicios se efectúa contractualmente, de modo que por esta vía
obtienen los datos de los abonados (nombre, dirección, datos de pago, equipos, etc).
Como proveedores de acceso, sus equipos se hallan permanentemente conectados a la
red, siendo los encargados de proporcionar las direcciones IP a sus usuarios. Las direcciones
pueden ser estáticas, para usuarios que requieren una conexión permanente, o dinámicas –los
usuarios domésticos– que varían de sesión a sesión. Suelen llevar un registro de las
asignaciones efectuadas, de vital importancia para la determinación de la identidad del autor
de un hecho cometido a través de estos sistemas (mediante la conexión entre los datos de
tráfico, los datos IP, los datos de línea telefónica o de red y los datos de abonado).
En la mayoría de las ocasiones prestan, a su vez, otros servicios de contenidos, tales
como portales, motores de búsqueda o alojamiento de contenidos de sus usuarios. Como tales,
se verán sometidos no a las normas de comunicaciones electrónicas, sino a la de protección de
datos genérica y a la de servicios de sociedad de la información en cuanto a dichas
operaciones específicas.
3.2.d) Los proveedores de servicios Internet
Son personas físicas o jurídicas que disponen de una conexión TCP/IP permanente,
arrendada a un proveedor de acceso a Internet, lo que les permite ofrecer servicios de
hospedaje o de «anfitrión» a usuarios que hacen disponibles contenidos multimedia a otros
usuarios en forma de páginas web, listas de correo electrónico o chats (salas de comunicación
en tiempo real).
El alojamiento de los contenidos en sus máquinas les permite elaborar perfiles de
comportamiento con los datos de navegación de los usuarios que acceden a ellos,
proporcionándole una base de datos personales interesante para fines de prospectiva
comercial. El conocimiento de dichos datos puede permitir reconstruir lo visto o examinado
por el usuario que ha accedido a determinada página.
Iguales conclusiones cabe extraer de los que ofrecen servicios de portal, así como motores
de búsqueda.
En el primer caso el autor del portal presenta, de forma ordenada, una serie de enlaces
hipertexto (links) a otros contenidos de la Red. Puede, asimismo, incluir contenidos propios
(noticias, foros) y otros servicios (disponibilidad al usuario de cuentas de correo electrónico
gratis, etc). Los tratamientos de datos que pueden efectuar son los mismos que los alojadores
de páginas web.
En cuanto a los segundos, ponen a disposición del usuario bases de datos de enlaces
hipertexto recabados de la red mediante programas de búsqueda e indexación (arañas) de
determinadas palabras clave (tags) contenidas en el código de las cabeceras de las páginas
web. El empleo del mismo protocolo http en los tres casos estudiados sirve para hacer la
misma reflexión sobre los posibles tratamientos de datos personales que pueden desarrollar.
3.3. Las empresas de servicios de valor añadido
De los variados servicios de información que surgen al hilo de las nuevas posibilidades
de tratamiento de la información pueden destacarse los ofrecidos por empresas que recaban
datos de comportamiento de los usuarios, recabados de los servidores de acceso, de servicios
Internet, de motores de búsqueda o de portales, que posteriormente analizan mediante
sofisticados sistemas de minería de datos (conocidos también como datawarehouse) en
búsqueda de patrones de comportamiento. Los resultados son ofrecidos nuevamente a quienes
mantienen los sitios web con vistas a permitirles conocer el perfil de comportamiento de sus
usuarios, a fin de personalizar los productos e informaciones que les pueden ofrecer.
Fiscalia.Org Pág. 25
La intervención de las comunicaciones electrónicas
40
La Agencia de Protección de datos es la encargada de ejercer dichas facultades de control. A ella se dedica el
Título VI de la LOPDP, siendo regulada por el RD 428/1993.
41
Sobre el régimen de acceso policial, así como la problemática de los ficheros de datos personales en relación
con las investigaciones penales, HERNÁNDEZ GUERRERO, Francisco J. y ÁLVAREZ DE LOS RÍOS, José
Luis, «Protección constitucional, administrativa y penal del derecho a la intimidad», en Estudios Jurídicos del
Ministerio Fiscal III, Madrid 1.997; y «Medios informáticos y proceso penal», en Estudios Jurídicos del
Ministerio Fiscal IV, Madrid 1.999, págs. 471-601.
Fiscalia.Org Pág. 26
La intervención de las comunicaciones electrónicas
42
Debe recordarse que la LOPDP entiende por tratamiento las «operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.» (art. 3.c.)
Fiscalia.Org Pág. 27
La intervención de las comunicaciones electrónicas
43
La Directiva 97/66/CE, de forma más sucinta, los definía como «servicio cuya prestación consiste, total o
parcialmente en la transmisión y el envío de señales a través de redes de telecomunicaciones, excepción hecha de
la radiodifusión sonora».
44
La utilización anteriormente citada del protocolo IP, que implica la asignación de números de identificación de
los usuarios. O las cabeceras de algunos protocolos empleados para correo electrónico (POP3 y SMTP), que
incluyen la referencia al contenido del mensaje, redactada por el propio remitente.
Fiscalia.Org Pág. 28
La intervención de las comunicaciones electrónicas
personales de distinta sensibilidad 45, que pueden quedar sometidos a regímenes jurídicas e
instrumentos legales de protección diferentes, con la consiguiente diferenciación del régimen
de intervención por causa de una investigación penal.
Por ello, se hace preciso diferenciar entre los posibles contenidos propios y asociados de
una comunicación electrónica, tanto desde el punto de vista de la protección de la
confidencialidad de las comunicaciones como del de la protección de datos personales.
4.2. El contenido de las comunicaciones
Hemos comprobado cómo la comunicación no ha de circunscribiese, en el nuevo entorno,
a las comunicaciones telefónicas. De acuerdo con la definición de telecomunicaciones de la
legislación española, el contenido puede consistir en «signos, señales, escritos, imágenes,
sonidos o informaciones de cualquier naturaleza».
Dentro del contenido de las comunicaciones, el TEDH ha venido incluyendo
pacíficamente la identificación subjetiva de las partes intervinientes en ellas. Así lo efectuó
en el Caso Malone (1.984), donde consideró que el registro que por legítimos fines
comerciales verifica el titular del servicio mediante un contador de los números que han sido
marcados desde un determinado aparato suministra una información de la que no se puede
hacer uso sin la previa autorización del afectado. Por tanto, su cesión a la Policía entra en
clara oposición del art. 8 del CEDH, en relación al respeto a la vida privada.
Una referencia similar fue efectuada por el Tribunal Constitucional (TC) en la STC
114/1994, de 29 de noviembre (F.J. 7º).
La Fiscalía General del Estado se ha pronunciado en los mismos términos en la Consulta
1/1999, de 20 de enero, relativa al tratamiento automatizados de datos personales en el ámbito
de las telecomunicaciones 46.
Pero, además, el empleo de las tecnología informática ha dado lugar a que, al tiempo de
realizarse la comunicación, los sistemas y redes se transmiten datos de tráfico que, en el caso
de Internet, pueden referir o permitir la identificación de los contenidos visitados. Por ello,
dentro del concepto de contenido de las comunicaciones han de entenderse incluidos los datos
de tráfico a los que a continuación nos referiremos.
4.3. Los datos personales asociados a las comunicaciones electrónicas
4.3.a) Los datos de tráfico
La diversidad de servicios de comunicaciones electrónicas que pueden mantenerse a
través de las mismas redes obliga a distinguir, dentro de esta categoría, diversos tipos de datos
de tráfico.
Estos pueden definirse, de acuerdo con el art. 2.1.b) de la propuesta de Directiva sobre
tratamiento de datos personales y protección de la intimidad en el sector de las
45
El Grupo de Protección de las Personas del art. 29 de la Directiva 95/46/CE considera incluso que puede que
algunos de estos datos deban ser considerados «sensibles», tal y como se entiende este concepto en la legislación
de protección de datos personales, que los somete a un régimen absolutamente estricto de tratamiento, basado
fundamentalmente en el consentimiento escrito y específico del interesado (tratamientos específicos de datos
personales; arts. 8 y 9 Directiva 95/46/CE y 7 LOPDP).
46 «Desde esta perspectiva es claro que inviolable no sólo es el mensaje, sino todos aquellos datos relativos a la comunicación que permitan identificar a los interlocutores o
corresponsales, o constatar la existencia misma de la comunicación, su data, duración y todas las demás circunstancias concurrentes útiles para ubicar en el espacio y en el
tiempo el hecho concreto de la conexión telemática producida.»
Fiscalia.Org Pág. 29
La intervención de las comunicaciones electrónicas
47
La actual Directiva 97/66/CE se refiere a ellos sin definirlos en el art. 6 (Tráfico y facturación), así como en su
Anexo, en el que ofrece una lista de los que pueden ser tratados a efectos de facturación y pago de
interconexiones.
48
Las implicaciones en materia de investigación penal son indudables. En tanto que no puede accederse al
contenido de una comunicación sino mediante resolución judicial motivada (art. 579.3 LECr) el acceso a los
datos personales con fines de investigación de un peligro concreto a la seguridad pública o para la represión de
hechos penales es dado a las Fuerzas y Cuerpos de Seguridad por el art. 22.2 a 4 LOPDP sin necesidad de dicha
autorización judicial.
49
En la LGT se prevé en el art. 51 que las interceptaciones de contenido por motivos técnicos exigirán, incluso,
autorización legal de acuerdo con el art. 579 LECr, y la adaptación en el diseño industrial de los aparatos
empleados para evitar, en la medida de lo posible, dicho resultado.
50
Así, tanto la Directiva 97/66/CE (y su versión renovada) como la LGT prevén el tratamiento para fines de
facturación y para fines de promoción comercial de productos de comunicación de la empresa. En la propuesta
de directiva sobre tratamiento de datos en relación con las comunicaciones electrónicas, el tratamiento es
admitido también para la prestación de servicios de valor añadido (art. 6.3).
Fiscalia.Org Pág. 30
La intervención de las comunicaciones electrónicas
añadido tales como los servicios de emergencia que requieren una localización precisa de la
víctima 51.
Los datos de localización son necesarios en la telefonía móvil para ubicarlo en el radio de
acción de una antena de transmisión. La localización es por ello, imprecisa, dependiendo
precisamente de dicho radio de acción.
En cambio, en los servicios de valor añadido (servicios de localización o alarma GPS –
Global Position System–) la localización constituye un elemento esencial, siendo fijada con
absoluta precisión. El grave atentado que ello puede suponer a la intimidad del individuo hace
que se adopten medidas especiales de garantía, como son la necesidad de previo y expreso
consentimiento del interesado, la limitación del tratamiento a lo estrictamente imprescindible
(y sometido a un plazo igualmente perentorio para el cumplimiento de la finalidad del
servicio), y la posibilidad de rehusar la localización llamada por llamada, aunque merme la
calidad y disponibilidad de las prestaciones contratadas 52.
La proliferación de intercambios de información, e incluso de comunicaciones bilaterales
en tiempo real a través de Internet 53 hace que también deba tenerse en consideración las
actividades de navegación por Internet como posible contenido de las comunicaciones
electrónicas. Al respecto, tanto el Consejo de Europa como las instituciones especializadas en
protección de datos coinciden de forma unánime en declarar el sometimiento de las
actividades de Internet al marco regulador previsto para la protección del secreto y
confidencialidad de las comunicaciones, así como para la protección de los datos personales
asociados a ellas. 54.
Los datos de navegación, consistentes en las huellas que el usuario va dejando por la
configuración técnica del protocolo de navegación Internet HTTP pueden indicar los
contenidos visitados. La posesión de dichos datos puede permitir la reconstrucción de los
contenidos efectivamente visitados, pudiendo obtenerse un perfil del comportamiento del
afectado. Por ello, el Grupo de Protección de las Personas considera los datos de navegación,
o datos de comportamiento Internet como datos de tráfico, sometidos a las mismas garantías
51
La Orden de 14 de octubre de 1.999 sobre condiciones de suministro de información relevante para la
prestación del servicio de atención de llamadas de urgencia a través del número 112 establece este dato de entre
los que los operadores de redes de comunicaciones han de poner a disposición del centro de atención de
emergencias.
52
Piénsese en los servicios de navegación por satélite instalados en los vehículos de alta gama, que incluso
pueden incluir la prestación de emitir una llamada localizadora de urgencia en caso de accidente.
53
Un ordenador personal dotado de un módem y una tarjeta de sonido permite mantener conversaciones
telefónicas, o el intercambio de mensajes en tiempo real (chats, ICQ, mensajería Internet...), que en nada se
diferencian de los medios tradicionales de comunicación telefónica o radiofónica.
54
El Consejo de Europa se ha pronunciado de esta forma en su Recomendación R(99)5, sobre la protección de la
intimidad en Internet: «Reconociendo que la recogida, el tratamiento, y, sobre todo, la comunicación de datos de
carácter personal a través de las nuevas tecnologías de la información, en concreto de las "autopistas de la
información", están regidas por las disposiciones del Convenio para la protección de personas respecto al
tratamiento automatizado de datos de carácter personal (Estrasburgo, 1981, Serie de Tratados Europeos número
108) y por las recomendaciones sectoriales relativas a la protección de datos.»
Por su parte, el Grupo de Protección de las Personas del art. 29 ha mantenido la misma opinión de forma
expresa o tácita en su Dictámenes y Recomendaciones sobre la materia: Dictamen 7/2000, de 2 de noviembre,
sobre la propuesta de la Comisión Europea de Directiva del Parlamento Europeo y del Consejo relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (pág. 5). En su Documento de Trabajo 5063/00/ES/FINAL WP37, «Privacidad en Internet: Enfoque
comunitario integrado de la protección de datos en línea», de 21 de noviembre de 2000, lo manifiesta con total
claridad (págs. 23-24)
Fiscalia.Org Pág. 31
La intervención de las comunicaciones electrónicas
de confidencialidad y secreto de comunicaciones que los propios contenidos 55, debiendo por
ello ser destruidos una vez terminada la conexión a la red, de acuerdo con el art. 6 de la
Directiva 67/66/CE y de la propuesta de Directiva sobre protección de datos en el sector de
las comunicaciones electrónicas.
4.3.b) Los datos de facturación
Los datos de tráfico sirven, como se ha indicado, para la realización de un fin legítimo del
operador de redes o del prestador de servicios, cual es el de permitir la reclamación de su
precio. En esta consideración, su tratamiento es admisible de acuerdo con el principio
genérico de licitud del tratamiento previsto en el art. 7.f) de la DPD 56.
En tal sentido, el art. 6 de las Directivas 97/66/CE y de la propuesta de Directiva
establecen dicha posibilidad sometido a determinadas condiciones de tratamiento:
Sólo podrán tratarse determinados datos (los relativos a fecha, duración, número de
unidades facturables, línea llamante y línea o número de abonado al que se llama) 57.
Los datos podrán mantenerse exclusivamente durante el tiempo necesario para la
reclamación de su importe por el operador, o la impugnación de éste por el abonado 58
Sólo podrán ser tratados por el personal de los operadores encargado de la facturación,
de la prestación técnica del servicio o de la comercialización de otros productos –
previo consentimiento del interesado– en la cantidad imprescindible.
55
Grupo de Protección de las Personas, «Privacidad en Internet», págs. 55-56.
56
Artículo 7 Directiva 95/46/CE:
«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el
tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y
libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la
presente Directiva.»
57
Esta regulación es recogida en el RD 1736/1998, de 31 de julio, art. 65:
1. Los operadores deberán destruir los datos de carácter personal sobre el tráfico relacionados con los usuarios
y los abonados que hayan sido tratados y almacenados para establecer una comunicación, en cuanto termine la
misma, sin perjuicio de lo dispuesto en los apartados siguientes.
2. Podrán ser tratados por los operadores, exclusivamente con objeto de realizar la facturación y los pagos de
las interconexiones, los datos a los que se refiere el apartado anterior que incluyan:
a) El número o la identificación del abonado.
b) La dirección del abonado y el tipo de equipo terminal empleado para las llamadas.
c) El número total de unidades que deben facturarse durante el ejercicio contable.
d) El número del abonado que recibe la llamada.
e) El tipo, la hora de comienzo y la duración de las llamadas realizadas o el volumen de datos transmitidos.
f) La fecha de la llamada o del servicio.
g) Otros datos relativos a los pagos, tales como pago anticipado, pagos a plazos,
desconexión y notificaciones de recibos pendientes.»
Estos datos podrán tratarse y almacenarse únicamente por el plazo durante el cual pueda impugnarse la factura
o exigirse el pago, de conformidad con la legislación aplicable. Transcurrido dicho plazo, los operadores deberán
destruir los datos de carácter personal, en los términos del apartado 1 de este artículo»
58
El Grupo de Protección de las Personas emitió la Recomendación 3/1999 sobre la conservación de los datos de
tráfico por los proveedores de servicio Internet a efectos del cumplimiento de la legislación, donde entre otras
consideraciones de interés, abogó por la armonización del plazo de mantenimiento a estos propósitos de
reclamación o impugnación en tres meses.
Fiscalia.Org Pág. 32
La intervención de las comunicaciones electrónicas
Como puede apreciarse, los datos de facturación no son sino parte de los datos generados
en una comunicación (datos de tráfico) cuyo almacenamiento y posterior tratamiento es
autorizado para la satisfacción de unos fines legítimos.
Entendemos que dichos datos, una vez concluida la comunicación, son datos personales
sometidos a la normativa de protección de datos personales, entre cuyas normas se hallan las
que permiten el acceso policial y de las autoridades judiciales y fiscales en el ejercicio de sus
competencias (arts. 22.2 y 11.2.d) LOPDP, respectivamente).
Sí cabe plantearse si constituyen algunos de ellos, esencialmente el número del abonado
al que se llama 59, «datos sensibles», en el sentido indicado por el art. 7 LOPDP 60.
Tanto el art. 1 de la DPD como de la LOPDP aluden a la protección de las libertades
fundamentales y de los derechos fundamentales de las personas físicas, y en particular, del
derecho a la intimidad en lo que respecta al tratamiento de datos personales. Si las
comunicaciones electrónicas, protegidas per se con una garantía constitucional autónoma y
con legislación sectorial específica (la Directiva de Telecomunicaciones y la LGT), requieren
tratamientos de datos, qué duda cabe de que habrían de gozar de una consideración analógica
a la de los datos relativos a materias protegidas por el derecho a la libertad ideológica y de
creencias (art. 16 CE). Los tratamientos de datos son objeto de protección en cuanto que,
mediante ellos, puede producirse una lesión de una libertad fundamental. Y esto justificaría
que los datos relacionados directamente con dichos derechos fundamentales ostentaran la
condición de «sensibles», requiriendo por ello un consentimiento expreso y por escrito que
autorice su tratamiento.
59
Lo que es extensible a la dirección IP del equipo desde el que se llama, mantenido en los registros que llevan
los proveedores de acceso a Internet, similar en finalidad al registro de facturación, o a las direcciones de correo
electrónico a las que se remiten mensajes.
60
Art. 7 LOPDP:
«1. De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a
declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente,
se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de
carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros
mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones,
fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en
cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará
siempre el previo consentimiento del afectado.
3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán
ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado
consienta expresamente.
4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal
que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán
ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las
respectivas normas reguladoras.
6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter
personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la
prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario
sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento
sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado
esté física o jurídicamente incapacitado para dar su consentimiento.»
Fiscalia.Org Pág. 33
La intervención de las comunicaciones electrónicas
61
RD 1736/1998, de 31 de julio, que establece el Reglamento de Desarrollo del Título III de la LGT, relativo a
los derechos del usuario y a las obligaciones de servicio universal de telecomunicaciones, y a las obligaciones de
servicio público.
62
Art. 65.3 RD 1736/1998, de 31 de julio:
«Asimismo, los operadores podrán tratar los datos a los que se refiere el apartado anterior para la promoción
comercial de sus propios servicios de telecomunicaciones, siempre y cuando el abonado haya dado su
consentimiento previo. A estos efectos, los operadores deberán dirigirse a los abonados, al menos, con un mes de
antelación al inicio de la promoción, requiriendo su consentimiento que, de producirse, será válido hasta que los
abonados lo dejen sin efecto de modo expreso. Si en el plazo de un mes desde que el abonado reciba la solicitud,
éste no se hubiese pronunciado al respecto, se entenderá que consiente, sin perjuicio de lo dispuesto en la
disposición transitoria séptima.»
Fiscalia.Org Pág. 34
La intervención de las comunicaciones electrónicas
63
Piénsese en las conexiones gratuitas a Internet ofrecidas por muchos proveedores de contenidos web, como
portales, motores de búsqueda o incluso medios de comunicación editorial (El País, El Mundo), u operadores
telefónicos (Retevisión, Jazztel o Telefónica).
64
El problema mereció las reflexiones de la Agencia de Protección de Datos en su Memoria de 1.997 (pág. 256),
sin que, desafortunadamente, ofreciera su posición al respecto.
65
Debe considerarse, además, la posibilidad prevenida por la propia ley de que la Policía sí acceda a los datos de
identificación de un titular de firma electrónica –datos relacionados, igualmente, con las comunicaciones
electrónicas– en virtud de la normativa sobre firma digital que a continuación se expondrá.
66
Puede encontrarse un esquema del procedimiento de firma en ORMAZÁBAL SÁNCHEZ, Guillermo, «La
prueba mediante documento digitalmente firmado», en Actualidad Civil nº 8, marginal XI, Madrid 1.999.
Fiscalia.Org Pág. 35
La intervención de las comunicaciones electrónicas
firmar es compendiado mediante un algoritmo matemático –de forma que es único para cada
mensaje– , obteniéndose un resumen o hash. Este resultado es combinado con la clave privada
(asociada a la persona del firmante de forma única, de modo que sólo él puede tenerla en su
poder) a través de un programa encriptador, que genera un conjunto de datos asociados al
documento o en conexión con él, que constituye la firma del documento. A la recepción del
mensaje, el destinatario emplea la clave pública correspondiente al remitente (disponible a
través de directorios públicos de consulta) para verificar que el compendio fue generado
empleando la clave privada asociada a dicha clave pública. Una vez realizada esa
comprobación y obtenido el resumen o hash original, el programa de firma la verifica
realizando él mismo nuevamente el compendio del documento (que ya hemos dicho que
siempre es único para un documento) y comprobándolo con el recibido. Sin ambos coinciden,
quedará acreditada la integridad del documento, pues basta cualquier alteración para que el
hash fuera distinto (ya no sería el mismo documento). Verificada la relación entre las claves
pública y privada, quedaría también comprobada la identidad del remitente .
Para verificar que el par de claves pertenece a quien dice ser, determinadas entidades (los
prestadores de servicios de certificación) emiten un «certificado», que acredita dicha relación
matemática, así como la identidad del firmante –que ha tenido que identificarse ante él
mediante un documento identificativo de valor legal–. En dichos certificados puede
emplearse, en vez del nombre, un seudónimo. Ello no implica que no se deba identificar su
titular ante la entidad certificadora; únicamente indicará que el titular preserva su identidad no
incluyendo dicha mención, si bien el proceso de identidad sí se ha verificado legalmente,
pudiendo por tanto confiarse en ésta.
La relación de las firmas electrónicas con las comunicaciones (dado que son empleadas
precisamente como mecanismos de autentificación de las partes en sus comunicaciones),
unido al hecho de que tanto las claves de firma y los certificados constituyen, per se, datos de
carácter personal, suponen un serio riesgo de acceso por terceros, aunque sean de naturaleza
pública, quienes en virtud del citado art. 22.2 LOPDP pueden pedir la identificación del titular
oculto bajo el seudónimo, y en algún caso la propia clave privada de firma –con el peligro de
usurpación de identidad que ello puede suponer–. A pesar de que la Directiva 1999/93/CE,
para evitar este peligro, impide que se almacenen o copien las claves privadas de firma
(también denominadas «datos de creación de firma»), el art. 11.f) del RDLFE permite a los
prestadores de servicios de certificación que las almacenen con consentimiento o petición del
interesado, prohibiendo su almacenamiento o copia como regla general. Esta mención al
consentimiento o petición del titular de la firma contraviene la Directiva 67, como ha sido
puesto de manifiesto por la doctrina 68.
67
No debe olvidarse que el RDLFE se basó en el proyecto de Directiva, y que la precedió en el tiempo; lo que
obliga a adaptarla en la regulación definitiva propuesta por el gobierno para acogerse al dictado final de la norma
comunitaria.
68
MARTÍNEZ NADAL, Apolonia, «Aproximación al borrador de Propuesta de Directiva para un marco común
en materia de firma electrónica y proveedores de servicios relacionados», en Actualidad Informática Aranzadi nº
29, octubre 1.998
Fiscalia.Org Pág. 36
La intervención de las comunicaciones electrónicas
69
Son clásicos los realizados por el magistrado LÓPEZ-BARJA DE QUIROGA, Jacobo, «El Convenio, el
Tribunal Europeo y el derecho a un juicio justo», Madrid, 1.989, págs. 65-89; y «Las escuchas telefónicas y la
prueba ilegalmente obtenida», Madrid, 1.989. Igualmente, LÓPEZ-FRAGOSO ÁLVAREZ, Tomás, «Las
intervenciones telefónicas en el proceso penal», Madrid, 1.991. DE LLERA SUÁREZ-BÁRCENA, Emilio, «La
observación o escucha de las comunicaciones telefónicas: una perspectiva constitucional», en Estudios Jurídicos
del Ministerio Fiscal VI, Madrid 1.997, págs. 461-485. MORENILLA RODRÍGUEZ, J.M., «La jurisprudencia
del Tribunal Europeo de Derechos Humanos», en Cuadernos del CGPJ 11, Madrid, 1.993, págs. 317-329. y
ALONSO PÉREZ, Francisco, «Requisitos de las intervenciones telefónicas», en La Ley nº 5288, 16 de abril de
2001
70
DE LLERA SUÁREZ-BÁRCENA, op.cit. pág. 467
71
Excluyendo con ello la posibilidad de regulación mediante otras fuentes normativas, como el Decreto-Ley (por
virtud de la prohibición del art. 86.1 CE de regular el ejercicio de derechos fundamentales), o normas de rango
reglamentario.
Fiscalia.Org Pág. 37
La intervención de las comunicaciones electrónicas
De este precepto, de interpretación esencialmente restrictiva 72, cabe extraer las siguientes
garantías:
La injerencia ha de estar prevista por la ley 73
Esta exigencia requiere que la medida se halle recogida por el derecho interno, no sólo en
una ley, sino en cualquier norma del derecho interno, incluida la jurisprudencia 74.
Ha de ser compatible con la preeminencia del Derecho 75, lo que implica:
o Que los términos de la ley han de ser lo suficientemente claros para que su
texto sea accesible al ciudadano;
o Que los términos deben ser precisos, de modo que con conocimiento,
suficientemente asesorado en su caso, el sujeto pueda acomodar su conducta a
la norma de injerencia 76
Esta calidad de ley tiene que proporcionar seguridad frente a la posible arbitrariedad
en el ejercicio de las medidas por la autoridad pública.
La medida ha de estar basada en alguna de las finalidades previstas en el art. 8.2
o La referencia a la defensa del orden y la prevención del delito son admitidas
por la modificación operada por los Protocolos 4 y 11, si bien antes fue
igualmente admitido por el TEDH 77
o La defensa nacional también constituye una finalidad legítima en una sociedad
democrática. Dicha referencia ha provocado pronunciamientos del TEDH
relativos a regímenes de escuchas secretas, que las ha rechazado
categóricamente 78
o La protección de la seguridad pública ha incluido hasta la reforma de los
Protocolos la prevención de delitos 79
72
Caso Klass.
73
Casos Sunday Times (26/04/1979, par. 46-49); Silver (25/03/1983) y Malone (02/10/1984).
74
A esta posibilidad, expuesta por el TEDH en el Caso Sunday Times para justificar el régimen de Common
Law de los países anglosajones, es a la que se acoge el Tribunal Constitucional para declarar constitucionalmente
válidas las escuchas amparadas en el art. 579 LECr., a pesar de haber sido condenado el Estado Español por
violación de la exigibilidad de ley precisa en el Caso Valenzuela Contreras, en 1.998 (STC 49/1999, y Circular
1/1.999, de la Fiscalía General del Estado, de 23 de diciembre.
75
Circular FGE 1/1999, 23 de diciembre.
76
En el Caso Kruslin (24/04/1990), tal y como refiere la Circular 1/1999, el TEDH exigió la existencia de reglas
claras y detalladas en relación al ejercicio de la intervención, relativas a la categoría de personas que pueden ser
sujetos de las injerencias, el tipo de infracciones que las justifican, los límites de duración de ejercicio, la
realización de resúmenes de su contenido por la autoridad de control, las precauciones procesales a la hora de
incorporarlas al proceso, así como la posterior destrucción del material recogido.
77
Caso Golder (01/02/1975).
78
Como manifestara en el caso Klass (par. 46), «el poder de vigilar en secreto sólo es tolerable en una sociedad
democrática en la medida estrictamente necesaria para la salvaguardia de las instituciones democráticas».
Más contundente, y actual, es el pronunciamiento del Caso Laender (26/03/1987) par. 65: es preciso asegurar
«la existencia de garantías adecuadas y suficientes contra los abusos, pues un sistema de vigilancia secreta
destinado a proteger la seguridad nacional crea un riesgo de socavar, incluso destruir, la democracia por tratar de
protegerla». MORENILLA RODRÍGUEZ, J.M. op. cit. pág. 326, a quien seguimos en este análisis.
79
Caso Campbell (28/03/1992), par. 41.
Fiscalia.Org Pág. 38
La intervención de las comunicaciones electrónicas
80
Caso Olsson (24/03/1988), par. 65.
81
Caso Dudgeon (22/10/1981) par. 47.
82
Caso Silver (25/03/1983).
83
Circular 1/1999 FGE.
Fiscalia.Org Pág. 39
La intervención de las comunicaciones electrónicas
84
No obstante, como tendremos ocasión de exponer, las opiniones contrarias al respecto van en aumento,
considerándose hoy día como un hecho la existencia de proyectos tales como ECHELON, SORM o Enfopol,
encaminados a la realización de actividades de vigilancia global de las comunicaciones electrónicas con
propósitos de espionaje industrial o militar.
85
En este requisito se basa también la jurisprudencia y la propia FGE para considerar ajenas al Derecho las
escuchas predelictuales o prospectivas (SSTS 1448/19978, de 24 de noviembre, 1075/1998, de 23 de septiembre,
citadas por la Circular FGE 1/1999).
86
Más correctamente que en el art. 579, el art. 583 LECr determina para la intervención de comunicaciones
postales y telegráficas que «El auto motivado acordando la detención y registro de la correspondencia o la
entrega de copias de telegramas transmitidos determinará la correspondencia que haya de ser detenida o
registrada, o los telegramas cuyas copias hayan de ser entregadas, por medio de la designación de las personas a
cuyo nombre se hubieren expedido, o por otras circunstancias igualmente concretas.»
87
O direcciones IP, o de correo electrónico, en el caso de comunicaciones electrónicas por medio de
ordenadores.
Fiscalia.Org Pág. 40
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 41
La intervención de las comunicaciones electrónicas
89
El art. 51 impone, como ya dijimos, las obligaciones de requerir mandamiento judicial cuando la actividad
inspectora y técnica requirieran acceso al contenido de las comunicaciones, así como la necesidad de modificar
las características técnicas de los aparatos que las generen, con vistas a evitarlas en un futuro.
90
Dictamen 7/2000, de 2 de noviembre de 2000, 5042/00/ES7FINAL WP36, pág. 6.
91
La Recomendación 2/1999 , de 3 de mayo, del Grupo de Protección, manifestó su posición en los siguientes
términos:
"los operadores de telecomunicaciones y los proveedores de servicios de telecomunicaciones deben adoptar las
medidas necesarias con el fin de hacer técnicamente difíciles o imposibles, según el estado actual de la técnica,
la interceptación de las telecomunicaciones por instancias no autorizadas por la ley. El grupo destaca a este
respecto que la aplicación de medios eficaces de interceptación de las comunicaciones con fines legítimos,
utilizando precisamente las técnicas más avanzadas, no debe tener por consecuencia reducir el nivel general de
confidencialidad de las comunicaciones y de protección de la intimidad de las personas.
Estas obligaciones toman un sentido particular cuando las telecomunicaciones entre personas situadas en el
territorio de los Estados miembros transiten o puedan transitar por el exterior del territorio europeo, en particular
en la utilización de satélites o de Internet."
92
Ante los rumores e indicios de existencia de medios de vigilancia global de las comunicaciones, aparecen
instrumentos técnicos de protección de las comunicaciones frente a ellos. Un ejemplo es el denominado
«Variable Cyber Coordinates System», también conocido como «Invicta», desarrollado por la empresa
norteamericana Invicta Networks Inc.; este programa cambia cada segundo la dirección IP empleada en la
Fiscalia.Org Pág. 42
La intervención de las comunicaciones electrónicas
comunicación, haciendo casi inexpugnable la interceptación. «Ex-KGB expert unveils new computer shield»
http://www.msnbc.com/news/576522.asp
93
Artículo 17 Directiva 95/46/CE:
Seguridad del tratamiento
«1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas
técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental
o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando
el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de
datos personales.
Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su
aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la
naturaleza de los datos que deban protegerse.»
Fiscalia.Org Pág. 43
La intervención de las comunicaciones electrónicas
94
Considerando 22 propuesta nueva DT: «puede resultar necesario adoptar medidas que exijan a los fabricantes
de determinados tipos de equipos utilizados en los servicios de comunicaciones electrónicas que construyan sus
productos de manera que incorporen salvaguardias para garantizar la protección de los datos personales y la
intimidad del usuario y el abonado. La adopción de dichas medidas de conformidad con la Directiva 1999/5/CE
del Parlamento Europeo y del Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos
terminales de telecomunicación y reconocimiento mutuo de su conformidad 7 , garantizará que la introducción de
características técnicas en los equipos de comunicaciones electrónicas, incluido el soporte lógico, para fines de
protección de datos esté armonizada a fin de que sea compatible con la realización del mercado interior.»
95
Si se piensa en una conversación telefónica entre particulares conocidos no se apreciará la relevancia de tales
recelos. Ahora bien, si las líneas telefónicas actuales permiten identificar el número de llamada entrante, y la
llamada se realiza a una empresa de comercio telefónico o de comercio electrónico, puede que la centralita
telefónica permita el tratamiento (almacenamiento, en este caso), del número de llamada entrante. Y que,
mediante un tratamiento informático de «búsqueda inversa» pueda averiguarse la identidad del usuario que llama
desde un número determinado. La disponibilidad de acceso a datos socioeconómicos relativos a la zona desde la
que se origina la llamada (accesible a la empresa por haberla proporcionada el usuario con otros fines, vg.
participación en un concurso público o una oferta promocional) puede proporcionar al empleado que contesta la
llamada un perfil socioeconómico de su presuntamente anónimo requirente; quien, por supuesto, permanecerá
ajeno a esta ventajosa situación de la empresa frente a él.
Fiscalia.Org Pág. 44
La intervención de las comunicaciones electrónicas
respecto a los datos que como abonados a un servicio de comunicaciones pueden disponer
terceras personas.
Por ello, el Consejo de Europa se vio en la necesidad de complementar el Convenio de
1950 con un instrumento específico relativo a la protección de la vida privada en relación al
tratamiento automatizado de datos personales –el Convenio 108–, que establecía un catálogo
de principios de tratamiento, de derechos o facultades del interesado, y de instrumentos
institucionales y legales de garantía ante los abusos cometidos en este ámbito.
Este Convenio fue recogido, en la forma que ya ha sido expuesta, en la legislación
comunitaria, y a través de ella, en la de los países miembros de la Comunidad Europea.
El presente apartado se destina al análisis de dichos principios y garantías, tanto de
carácter genérico como específicamente creado para la protección de la información personal
manejada en el ámbito de las comunicaciones electrónicas. No constituye, por tanto, un
estudio del régimen de protección de datos sino en cuanto atañe a las comunicaciones
electrónicas.
5.2.a) Contenido. Principios del tratamiento. Facultades.
5.2.a.1. Contenido
La vinculación del derecho a la protección de datos personales del derecho al respeto de
la vida privada, reconocido por el art. 8 CEDH, no ha de llevar a un desconocimiento de su
naturaleza autónoma como garantía fundamental.
La Carta de Derechos Fundamentales de la Unión Europea ha dado el primer paso en el
ámbito de los convenios internacionales al destacar, dedicando dos preceptos distintos aunque
correlativos, el derecho de protección de datos personales como una garantía autónoma. No
obstante, hay que recordar que no ha sido incorporada a los Tratados constitutivos de la
Comunidad, por lo que únicamente tendrá un valor político y simbólico, de orientación de las
directrices en materia de protección de los derechos y libertades fundamentales en cada
Estado miembro.
En nuestro ordenamiento únicamente constaba una referencia al empleo de la informática
en el art. 18.4 CE, sin que del mismo pudiera desprenderse otra cosa que su carácter
instrumental para la protección de otros derechos fundamentales.
Ha sido el Tribunal Constitucional el que, desde la STC 254/1993, de 18 de agosto (p.
González Regueral), ha reconocido ese carácter autónomo de derecho fundamental de
naturaleza instrumental 96.
El contenido de dicha garantía es sintetizado por el intérprete constitucional en la STC
292/2000 de 30 noviembre (p. González Campos):
«La garantía de la vida privada de la persona y de su reputación poseen hoy una
dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad
(art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la
propia persona. La llamada «libertad informática» es así derecho a controlar el uso de los
mismos datos insertos en un programa informático (habeas data) y comprende, entre
otros aspectos, la oposición del ciudadano a que determinados datos personales sean
96
STC 254/1993:«En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente
el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el
derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de
un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama "la informática"»
Fiscalia.Org Pág. 45
La intervención de las comunicaciones electrónicas
utilizados para fines distintos de aquél legítimo que justificó su obtención (TC SS
11/1998 FJ 5, 94/1998 FJ 4).
Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad
del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección
constitucional de la vida privada personal y familiar, atribuye a su titular un haz de
facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la
realización u omisión de determinados comportamientos cuya concreta regulación debe
establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la
informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1
CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho
fundamental a la protección de datos respecto de aquel derecho fundamental tan afín
como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por
consiguiente, que también su objeto y contenido difieran.»
Para este fin, la ley establece un conjunto de principios, condiciones y derechos que se
estudiarán a continuación.
5.2.a.2. Principios del tratamiento
Calidad
Los tratamientos de datos son imprescindibles en el estado actual de la tecnología y de la
sociedad para el logro de los legítimos intereses económicos y jurídicos de los ciudadanos y
de las empresas.
El establecimiento del equilibrio entre ese legítimo interés social en emplear tecnologías
de información sobre datos de carácter personal y el de los particulares afectados en no ver
comprometida su vida privada conduce al establecimiento de un régimen de explotación de
dicha información, manifestado en unos criterios o principios de tratamiento –que se traducen
en obligaciones directas de los responsables de los tratamientos– . Si el individuo ha de verse
sometido al escrutinio de parte de su vida por terceros, a consecuencia de sus relaciones
sociales, económicas y de cualquier otro orden, la información que de él mantengan dichas
instituciones –de la que se pueden derivar consecuencias de todo tipo 97.
Establece el art.6 de la Directiva 95/46/CE los siguientes principios de tratamiento:
Tratamiento leal y lícito
Para fines determinados, explícitos y legítimos. Los posteriores tratamientos no
pueden ser incompatibles con los fines originarios para los que fueron recabados
Adecuados, pertinentes y no excesivos con relación a los fines originarios y
posteriores
Exactos y actualizados, cuando sea preciso 98
Conservados en una forma que permita la identificación de los interesados durante
un período no superior al necesario para los fines de recogida o los posteriores
compatibles con éstos.
97
Entre los derechos reconocidos a los interesados se halla, no sin fundamento, los de oposición a los
tratamientos y a las decisiones automatizadas que tengan por exclusiva base un tratamiento automatizado de
información personal (art. 13LOPDP).
98
El art. 4..3 LOPDP explicita más esta obligación, determinando que «los datos de carácter personal serán
exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado», lo que
especifica de forma más adecuada el carácter de contrapeso frente a la injerencia que de por sí supone un
tratamiento de datos personales ajenos.
Fiscalia.Org Pág. 46
La intervención de las comunicaciones electrónicas
Las condiciones de licitud de los tratamientos vienen determinadas por la ley. Si antes de
la Directiva 95/46/CE las legislaciones nacionales consideraban como condiciones
legitimadoras del tratamiento al consentimiento del interesado o a la ley, la DPD altera dicha
estructura determinando unos principios (art. 6) que han de cumplir los datos a tratar, y unas
condiciones (arts. 7 y 8) que han de darse en los tratamientos. Sólo mediante el cumplimiento
de dicho doble filtro, como señala HEREDERO HIGUERAS 99, será admisible y lícito un
tratamiento.
Con independencia del subprincipio de finalidad, que merece una consideración
independiente, es el principio de calidad estricta, en la forma citada en el art. 4.3 de la
LOPDP, el más relevante de los señalados para el tratamiento. Requiere la puesta al día
permanente de los datos para que respondan con veracidad a la situación actual del interesado
100
.
La modificación derivada de una actualización exigirá su comunicación a quienes se
hayan cedido los datos en cualquier forma 101.
La conservación de la información está supeditada a la finalidad a la que se destinen los
datos (art. 4.5 LOPDP). Fuera de ese caso –es decir, el de duración de los motivos por los que
se recogieron–, la conservación de información deberá estar amparada en alguna de estas
condiciones:
Existir una obligación legal de conservación (arts. 4.5 y 16.5 LOPDP), o
Haberse desagregado o disociado la información, de forma que no se permita la
identificación del interesado 102
Finalidad
Al principio de finalidad se someten tanto la calidad de los datos, la cantidad que pueden
tratarse, su plazo de almacenamiento y la posibilidad de empleo para otros motivos, que han
de ser compatibles con los declarados en la recogida.
Su conocimiento por el interesado es determinante para que éste pueda dar el
consentimiento en la forma y fines que prevé el art. 3.h) LOPDP, de forma libre, inequívoca,
específica e informada. Así, constituye uno de los contenidos que ha de ser comunicado al
interesado antes de recabar el consentimiento legitimador del tratamiento (art. 5.1 LOPDP).
El principio de finalidad ha sido el empleado por la jurisprudencia para considerar ilícitos
determinados tratamientos. Así, la STC 125/1998, de 15 de julio (p. Mendizábal Allende) 103,
99
HEREDERO HIGUERAS, Manuel, La Directiva Comunitaria de Protección de Datos Personales, Pamplona
1.997, pág.110.
100
En garantía de este principio prevé el art. 4.4 LOPDP que « Si los datos de carácter personal registrados
resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los
correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el
art. 16.»
101
El art. 16.4 LOPDP lo prescribe de la siguiente forma: «Si los datos rectificados o cancelados hubieran sido
comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación
efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá
también proceder a la cancelación»
102
La LORTAD definía el proceso de disociación en el art. 3.f) como « f) Procedimiento de disociación: Todo
tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona
determinada o determinable».
103
Esta es una de las sentencias recaídas en el «caso RENFE», anteriormente juzgados en las SSTC 11, 33, 35 y
95/1998.
Fiscalia.Org Pág. 47
La intervención de las comunicaciones electrónicas
104
STC 125/1998, F.J. 2ª: «Este --dice su tenor-- no sólo entraña un específico instrumento de protección de los
derechos del ciudadano frente al uso torticero de la tecnología informática, sino que consagra un derecho
fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona a la "privacidad"
según el neologismo que reza en la exposición de motivos de la LORTAD pertenezcan o no al ámbito, más
estricto de la intimidad, para así preservar el pleno ejercicio de sus derechos. Trata de evitar que la
informatización de los datos personales propicie comportamientos discriminatorios. Y aquí se utilizó un dato
sensible, que había sido proporcionado con una determinada finalidad, para otra radicalmente distinta con
menoscabo del legítimo ejercicio del derecho de libertad sindical». Ello conduce derechamente al otorgamiento
del amparo solicitado, para lo cual hemos de declarar la nulidad de las dos sentencias que son objeto de este
proceso»
105
Se prevén excepciones a este deber de información cuando los datos no son recabados del propio titular (en
cuyo caso la información se ha de dar en los tres meses siguientes a la fecha de registro de los datos); cuando el
tratamiento tenga por objeto una finalidad científica, histórica, o estadística, o exija esfuerzos desproporcionados
a juicio de la APD; así como cuando los datos hayan sido extraídos de fuentes al público y se destinen a fines de
publicidad y prospección comercial.
106
El art. 2.h) DPD lo define como « toda manifestación de voluntad, libre, específica e informada, mediante la
que el interesado consienta el tratamiento de datos personales que le conciernan.»
107
Memoria 1994, pág. 86: «El consentimiento expreso se manifiesta mediante un acto positivo y declarativo de
la voluntad. El consentimiento tácito se produce cuando pudiendo manifestar un acto de voluntad contrario, éste
no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o
aceptación. Por último, cabe el consentimiento presunto, que no se deduce ni de una declaración, ni de un acto de
silencio positivo, sino de un comportamiento o conducta que implica aceptación de un determinado compromiso
u obligación.
Fiscalia.Org Pág. 48
La intervención de las comunicaciones electrónicas
derivado del propio comportamiento del interesado. La LOPDP sí exige, en cambio, que el
consentimiento sea informado, de modo que el incumplimiento del art. 5 relativo a las
obligaciones en tal sentido por los responsables de tratamiento permitirá hablar de un
tratamiento ilícito, e incluso fraudulento si tal ausencia de información fue voluntariamente
querida por el responsable.
El consentimiento es preciso no sólo para el tratamiento inicial, sino para cualquier
cesión posterior a un tercero, tal y como previene el art. 11.1 LOPDP. Como justifica el TC
en su Sentencia 292/2000 de 30 de noviembre:
«El derecho a consentir la recogida y el tratamiento de los datos personales --art. 6 LO
15/1999 de 23 Dic. (protección de datos de carácter personal) (LA LEY-LEG. 4633/99)--
no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye
una facultad específica que también forma parte del contenido del derecho fundamental a
la protección de tales datos. Por lo tanto, la cesión de los mismos a un tercero para
proceder a un tratamiento con fines distintos de los que originaron su recogida, aun
cuando puedan ser compatibles con éstos --art. 4.2 LO 15/1999--, supone una nueva
posesión y uso que requiere el consentimiento del interesado. Se trata de una facultad que
sólo cabe limitar en atención a derechos y bienes de relevancia constitucional, por lo que
debe estar justificada, ser proporcionada y estar establecida por ley, pues el derecho
fundamental a la protección de datos personales no admite otros límites. »
Datos sensibles
La DPD, en la opinión del autor antes citado, alude a que las condiciones del tratamiento
se hallaban en los arts. 7 y 8. El art. 8 hace referencia a determinadas categorías de
tratamientos, especiales por los datos tratados, atinentes a la intimidad del interesado o a otras
facetas de su vida íntima amparadas en otros derechos fundamentales.
La DPD establece más condiciones de tratamiento que la LOPDP. Esta hace depender el
tratamiento del consentimiento expreso y por escrito del interesado 108, de una disposición
legal 109, o de un interés vital del interesado 110. La DPD, en cambio, alude a las actividades de
cumplimiento de la legislación laboral, así como las precisas para el reconocimiento, ejercicio
o defensa de un derecho en un procedimiento judicial. La amplitud de estas condiciones,
sobre todo de la última, permitirían el acceso a datos de comunicaciones que fueran
considerados «sensibles», a pesar de nuestro criterio contrario, a fin de hacerlos valer en
juicio en ejercicio de la acción penal pública.
Seguridad y confidencialidad
La Agencia viene interpretando que el consentimiento a que se hace referencia en el artículo 11,ha de ser
previo, pero puede ser tanto expreso o tácito, como presunto, porque de una interpretación sistemática de la Ley
Orgánica, se deducen claramente aquellos supuestos en los que la Ley exige que el consentimiento sea expreso,
como en el caso de los datos especialmente protegidos (artículo 7), que además debe otorgarse por escrito. Sensu
contrario, cuando no se requiere que sea expreso, la Agencia interpreta que el consentimiento en cualquiera de
las modalidades referidas es conforme a la Ley Orgánica, lo que será de aplicación para la cesión, en cuyo caso
sólo se exige que el consentimiento exista con carácter previo, debiendo además señalarse que, de acuerdo con lo
establecido en el artículo 11.4 de la Ley Orgánica, el consentimiento es revocable en cualquier momento.»
108
Art. 7.2 y 3, para el tratamiento de tratamiento de datos relativos a ideología, religión, creencias, afiliación
sindical, origen sexual, salud y vida sexual.
109
Art. 7.3, tratamiento de datos relativos a salud, vida sexual y origen racial, así como referentes a comisión de
infracciones penales o administrativas.
110
Art. 7.6, prestaciones sanitarias, siempre que los datos sean tratados por personal sanitario sometido a secreto
profesional o a cualquier otra clase de obligación equivalente de secreto.
Fiscalia.Org Pág. 49
La intervención de las comunicaciones electrónicas
Los datos tratados han de ser almacenados de forma que se protejan contra la destrucción,
accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no
autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una
red, y contra cualquier otro tratamiento ilícito de datos personales (art. 17.1 DPD) 111.
La seguridad garantizada no es absoluta, sino que se halla en función del riesgo y de la
naturaleza de la información almacenada, habida cuenta el estado de la técnica y del coste de
las medidas. Para ello, el RD 994/1999, de 11 de Junio (RMS) determina en su art. 4 tres
niveles de «sensibilidad informacional», precisando en su articulado un conjunto progresivo
de medidas categorizadas en tres niveles: básico, medio y alto.
En materia de medidas de seguridad, el RMS exige que, tratándose de
telecomunicaciones entre equipos de tratamiento pertenecientes al mismo sistema de
información 112, se mantenga el mismo nivel de seguridad en ambos puntos de la conexión
(art. 5). Para los ficheros de alto nivel de seguridad el art. 26 exige el empleo de mecanismos
de cifrado o de cualquier que haga ininteligible la información durante la transmisión. 113
5.2.a.3. Derechos
El «habeas data», denominación empleada para referirse al conjunto de derechos
establecido por la ley para la protección de los datos personales, está constituido por los
derechos de acceso, rectificación, cancelación, oposición a los tratamientos e indemnización
en caso de sufrir un daño efectivo a consecuencia de los tratamientos efectuados.
Se hallan regulados en los arts. 13 a 19 LOPDP, entre los que se incluyen también el de
impugnación de valoraciones basadas únicamente en tratamientos automatizados (art. 13) y el
111
El art. 9 LOPDP establece la transposición de estas condiciones al Derecho interno:
«1. El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que
están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se
determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros
automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el art.
7 de esta Ley.»
Nótese que el legislador español no ha considerado el coste como un factor de rechazo de medidas de
seguridad. La seguridad a ofrecer únicamente dependerá del riesgo concreto y de la naturaleza de la información
personal almacenada.
112
El RMS se aplica a los sistemas de información con los que se traten ficheros de datos personales, siendo
aquellos definidos como «conjunto de ficheros automatizados, programas, soportes y equipos empleados para el
almacenamiento y tratamiento de datos de carácter personal» (art. 2.1). Por tanto, pueden cubrir a varios ficheros
de datos mantenidos por el mismo responsable, ya se hallen en la misma ubicación o dispersos geográficamente
[el fichero de datos personales es definido, a su vez, en la DPD art. 2.c) como « todo conjunto estructurado de
datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido
de forma funcional o geográfica»
113
Art. 26 RMS: « La transmisión de datos de carácter personal a través de redes de telecomunicaciones se
realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no
sea inteligible ni manipulada por terceros.»
Fiscalia.Org Pág. 50
La intervención de las comunicaciones electrónicas
derecho de consulta del Registro General de Protección de Datos (art. 14), como acto previo
al ejercicio de los restantes derechos.
Los derechos de acceso, rectificación y cancelación tienen por objeto facilitar al
interesado titular de los datos frente al responsable del tratamiento el control del
cumplimiento por éste de los principios y condiciones del tratamiento. Así, la rectificación y
cancelación procederán cuando los datos hayan dejado de ser pertinentes o necesarios para las
finalidades para las que fueron recabadas, o son inexactos o incompletos. También, cuando su
tratamiento no se ajuste a las condiciones previstas por la ley (art. 16.2).
Por ello, podemos afirmar que su ejercicio tiende a velar por la calidad de la información
que, por propia voluntad o por designio de la ley, se permite mantener en poder de terceros,
de modo que las decisiones resultantes de dichos tratamientos no le afecten más allá de lo
permitido por la ley, dentro del conjunto de garantías previstas por la misma.
El ejercicio de los derechos se halla sometido a los preceptos antes citados, así como al
RD 1332/1994, de 20 de junio y a la Instrucción 1/1998, de 19 de enero, de la APD, relativa
al ejercicio de los derechos de acceso, rectificación y cancelación.
5.2.b) Especialidades en materia de comunicaciones electrónicas
La regulación anterior es de completa aplicación al sector de las comunicaciones. Pero
consciente el legislador de la especificidad técnica de este sector, y de la posibilidad de
disposición de determinados servicios que implican el tratamiento de datos personales cuyo
control no puede lograrse mediante las condiciones genéricas de tratamiento previstas en la
DPD, procedió a dictar una norma propia, la Directiva 97/66/CE (DT), a fin de dar cauce legal
a las manifestaciones concretas en este ámbito de algunos derechos de protección de
información personal.
Los avances tecnológicos acaecidos desde 1.997 en un sector en constante evolución han
hecho conveniente la puesta al día de los textos legales sobre la materia. El 12 de julio de
2.000 fueron publicadas en el DOCE un conjunto de propuestas de Directivas relativas al
marco jurídico y técnico de las comunicaciones electrónicas, incluida una versión actualizada
de la DT. Con ellas se pretende adoptar, como ya fue expuesto, un enfoque neutro que
permita dejar claro la aplicación de los criterios de confidencialidad de las comunicaciones a
los nuevos entornos de comunicaciones electrónicas, tales como Internet.
Ya hemos hecho referencia a que los datos personales tratados al hilo de la prestación de
un servicio de comunicaciones electrónicas. Unos son previos a la comunicación (Datos de
abonado o suscriptor), otros son simultáneas a ésta (datos de tráfico, incluidos los relativos a
la navegación por Internet) y otros son posteriores a la misma (Datos de facturación). Cada
uno de estos momentos exige una concreción de las garantías comunes.
Ante la ausencia de normas propias en la DT se aplicarán subsidiariamente las normas de
la DPD 114
5.2.b.1. Tratamientos previos a la comunicación. Los datos de abonado. Las guías de
servicios de comunicaciones electrónicas
Nada se prevé en la DT acerca de la recogida de datos de contratos sobre los abonados a
servicios de comunicaciones electrónicas. Serán por ello aplicables los principios
114
El art. 1.2 de la DT determina: «A los efectos mencionados en el apartado 1, las disposiciones de la presente
Directiva especificarán y completarán la Directiva 95/46/CE. Además, protegerán los intereses legítimos de los
abonados que sean personas jurídicas.»
Fiscalia.Org Pág. 51
La intervención de las comunicaciones electrónicas
115
El art. 1.3 del RD 1332/1994 definía los datos accesibles al público como «los datos que se encuentran a
disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios
tales como censos, anuarios, bases de datos públicas, repertorios de jurisprudencia, archivos de prensa,
repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a
grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos,
dirección e indicación de su pertenencia al grupo.»
116
Art. 29 LORTAD: «1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos,
publicidad o venta directa y otras actividades análogas, utilizarán listas tratadas automáticamente de nombres y
direcciones u otros datos personales, cuando los mismos figuren en documentos accesibles al público o cuando
hayan sido facilitados por los propios afectados u obtenidos con su consentimiento.
2. Los afectados tendrán derecho a conocer el origen de sus datos de carácter personal, así como a ser dados de
baja de forma inmediata del fichero automatizado, cancelándose las informaciones que sobre ellos figuren en
aquél, a su simple solicitud.»
Fiscalia.Org Pág. 52
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 53
La intervención de las comunicaciones electrónicas
119
Dictamen 5/2000 sobre el uso de las guías telefónicas públicas para servicios de búsqueda inversa o
multicriterio (guías inversas). MARKT/5058/00/ES/FINAL WP33.
120
Sobre la consideración de las direcciones de correo electrónico como datos personales, véase Memoria APD
1.998, págs. 404-406.
121
Considerando 17 DT.
122
Su finalidad es la elaboración de perfiles de comportamiento de los usuarios, que permite personalizar la
oferta de productos u otros propósitos de venta directa o prospectiva comercial.
123
Igual criterio cabe plantear frente al uso de cookies o ficheros de seguimiento que se envían e insertan en los
ordenadores de los usuarios sin su conocimiento. Qué duda cabe de que las posibilidades de insertar cualquier
contenido en ellas –incluidos números únicos de identificación– pueden permitir un uso para fines de
investigación policial.
Fiscalia.Org Pág. 54
La intervención de las comunicaciones electrónicas
124
Algunos programas antivirus, como Innoculate, creado por la empresa Computer Associates, realiza
tratamientos de este tipo. O Gator, Alexa, zNubbles, entre otros.
El nombre de «aplicaciones ET» proviene del comportamiento de dichos programas, que una vez instalados
«llaman a casa». Fuente: «Privacidad en Internet», Grupo de Protección de las Personas.
125
En tal sentido, el Grupo de Protección de las Personas ha estudiado las propuestas de instrumentos de
protección de la intimidad ante el tratamiento de datos en Internet elaboradas por el Consorcio W3C, que
controla tecnológicamente Internet. Nos referimos al mecanismo P3P (Platform for Privacy Preferences,
Plataforma para los Perfiles de Privacidad; y al OPS (Open Profiling Standar, Estándar de Perfiles Abiertos).
Estos procedimientos permiten que el usuario rellene un formulario con los datos personales que autoriza a
tratar, y que deben poder ser leídos por los programas que recaben información personal del usuario. El usuario y
el responsables del tratamiento «negocian» el nivel de conocimiento posible a través de los medios informáticos.
Dictamen 2/1998, de 16 de junio sobre Plataformas de Preferencias de Privacidad y Norma de Perfiles Abierta.
Memoria APD 1.998, págs. 559-561.
126
Como los servicios de urgencia a que hace referencia el RD 903/1997, de 16 de junio.
127
Sería el caso de las llamadas a centros de auxilio, o a determinadas organizaciones de ayuda ante
enfermedades o situaciones límite. En estos casos, el receptor de la llamada es el primer interesado en ofrecer el
anonimato como medida de generación de confianza en el llamante. Considerando 19 DT.
Fiscalia.Org Pág. 55
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 56
La intervención de las comunicaciones electrónicas
131
Propuesta de Directiva de relativa al servicio universal y los derechos de los usuarios en relación con las
redes y los servicios de comunicaciones electrónicas COM(2000) 392 final, Considerando 11.
132
No se podrían amparar en este precepto ni el empleo de estos datos para fines de promoción comercial de
otros productos que no fueran de telecomunicaciones (o comunicaciones electrónicas) o de promoción comercial
de servicios de comunicaciones electrónicas realizada por otros operadores a los que se cedieran.
133
El interesado ha de dar, por tanto, un consentimiento específico a esta cláusula, por lo que no parece posible
incluirla en el clausulado general del contrato de servicios de comunicaciones.
134
Dictamen 7/2000 sobre la propuesta de Directiva relativa al tratamiento de datos personales y a la protección
de la intimidad en el sector de las comunicaciones electrónicas.
Fiscalia.Org Pág. 57
La intervención de las comunicaciones electrónicas
Por lo demás, las condiciones de tratamiento son las mismas que para el resto de los datos
de facturación.
5.2.c) Las restricciones al derecho de protección de datos personales
5.2.c.1. El ámbito de aplicación de las normas estudiadas
Como derecho fundamental, la protección de datos personales puede verse sometido a
restricciones y limitaciones para el cumplimiento de otros fines públicos legítimos en una
sociedad democrático.
El punto de partida de los derechos de protección de datos personales, constituido por el
Convenio 108, establece en su preámbulo su conexión con el CEDH al que pretende
complementar ampliando la protección de la vida privada ante los peligros emanados de las,
por entonces, emergentes tecnologías de la información. Ello justifica la aparición de las
mismas restricciones establecidas en los arts. 6, 8 y 10 CEDH, que son reiteradas en su art.
9.2. 135
Según explica la Memoria del Convenio, el punto de partida de éste es que determinados
derechos de las personas deben ser protegidos en relación con la libertad de circulación de la
información sin consideración de fronteras. Cuando el Convenio prevé restricciones o impone
condiciones al ejercicio de los derechos reconocidos es sólo en la medida de que tales
restricciones y condiciones constituyen medidas justificadas por la protección de otros
derechos y libertades. Con todo, se pretende que cada Parte adopte las medidas necesarias
para dar cumplimiento al «núcleo irreductible» de derechos reconocido en el capítulo II en su
legislación interna.136
El sometimiento de los países del Consejo de Europa a este Convenio y al CEDH
convierten., por tanto, a las previsiones de los arts. 5 a 8 en el contenido esencial del derecho
a la protección de datos personales. Y así fue reconocido por el TC en su Sentencia 254/1993,
de 20 de junio, a pesar de no haberse dictado todavía norma interna alguna de aplicación de
dicho Convenio y no constituir estas normas preceptos self executiving.
La referencia al Convenio 108 y sus restricciones es pertinente por cuanto, en materia de
intervención de comunicaciones electrónicas –y de los datos personales a ella asociados en
cualquiera de sus fases– las normas comunitarias estudiadas excluyen de su ámbito de
actuación cuando se refieren a materias no regidas por el derecho comunitario, como son las
relativas a la defensa de la seguridad pública, la seguridad del Estado (incluido el bienestar
económico del Estado cuando las actividades tengan relación con asuntos de seguridad del
Estado) y la aplicación del Derecho Penal 137. Ello podría llevarnos a la conclusión de la
inutilidad del examen realizado, por cuanto ninguno de los derechos es de aplicación al
ámbito de las intervenciones de comunicaciones en el proceso penal. Sin embargo, la
conclusión debe ser otra.
135
Art. 9 Convenio 108: «1. No se admitirá excepción alguna en las disposiciones de los artículo 5, 6 y 8 del
presente Convenio, salvo que sea dentro de los límites que se definen en el presente artículo.
2. Será posible una excepción en las disposiciones de los artículos 5, 6 y 8 del presente Convenio cuando tal
excepción, prevista por la ley de la Parte, constituya una medida necesaria en una sociedad democrática:
a) Para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del
Estado o para la represión de infracciones penales;
b) para la protección de la persona concernida y de los derechos y libertades de otras personas.»
136
Memoria del Convenio 108, parágrafos 19 y 20. Versión incluida en HEREDERO HIGUERAS, Manuel, La
Ley orgánica 5/1992 de regulación del tratamiento automatizado de datos de carácter personal, Madrid, 1.996,
pág. 437.
137
Considerando 12 y art. 1.3 DT. Considerando 13 y art. 3.2 DPD.
Fiscalia.Org Pág. 58
La intervención de las comunicaciones electrónicas
De una parte, el régimen de protección de datos pergeñado por las normas comunitarias
siguen el Convenio 108 y el «núcleo irreductible de derechos», por lo que, aun no aplicándose
aquéllas, el conjunto de garantías sería de aplicación por remisión directa a la norma del
Consejo de Europa.
Por otra, las propias normas comunitarias no son ajenas al ámbito de la seguridad pública
y la aplicación de la ley penal. De hecho, varias de sus disposiciones se refieren a tratamientos
efectuados o sometidos a condiciones de ejercicio limitativas por la incidencia de estos
intereses legítimos de una sociedad democrática 138.
Estas cláusulas significan que las directivas no regulan los tratamientos efectuados en
cumplimiento de fines de seguridad pública o para la aplicación de la ley penal 139. Pero las
leyes internas de transposición sí que han de recoger las normas de protección de datos en
ellas diseñadas, con las excepciones previstas para la protección de dichos intereses.140; y
dichas normas sí serán de aplicación a los ámbitos de la seguridad y la justicia. De hecho, la
existencia de estar normas internas es condición indispensable para formar parte de los
sistemas de información en el ámbito policial europeo141
5.2.c.2. El régimen legal aplicable a los tratamientos de datos derivados de las
intervenciones de comunicaciones electrónicas
La aprobación de la LOPDP ha supuesto un peligro importante para el cumplimiento de
los compromisos internacionales a que hemos hecho referencia.
El art. 2.2 establece:
«El régimen de protección de los datos de carácter personal que se establece en la
presente Ley Orgánica no será de aplicación:
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de
delincuencia organizada. No obstante, en estos supuestos el responsable del fichero
comunicará previamente la existencia del mismo, sus características generales y su
finalidad a la Agencia de Protección de Datos.»
138
En relación a la DPD, el art. 8.3, sobre tratamiento de datos sensibles que sea necesario para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. O el apartado 5, relativo al tratamiento
de datos sensibles constituidos por los relativos a infracciones penales o medidas de seguridad, que sólo se
llevarán completos bajo control de la autoridad pública. El art. 13 autoriza la imposición de restricciones a los
principios y derechos del tratamiento por fines de seguridad pública y aplicación de la ley penal, entre otros
motivos. Y el art. 26, que permite la transferencia de datos personales a países sin nivel equivalente de
protección para la satisfacción de un interés público y sea legalmente exigida para tal fin o para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
En la DT, el art. 6.4 acepta la facultad de comunicación de los datos de tráfico o facturación a las autoridades
públicas con vistas a resolver litigios, especialmente los relativos al pago de la facturación. Y el art. 14, que
prevé la imposición de excepciones al principio de confidencialidad, facturación y la identificación de llamadas
por estos motivos.
139
De hecho, las dos grandes instituciones de colaboración policial a escala europea, «comunitarizadas» por
virtud del Tratado de Ámsterdam (el Sistema de Información Schengen y la Oficina Europol) contienen en sus
normas internas una completa regulación en materia de protección de datos personales (Arts. 102-108 Convenio
de Schengen; arts. 13-25 Convenio Europol, de 26 de julio de 1995 –BOE nº 232, 28/09/1998).
140
Además, esas normas satisfarán a su vez la obligación de recepción interna de la regulación establecida por el
Convenio 108. Son, por tanto, normas internas condicionadas por los compromisos legales contraídos a nivel
internacional por vía de instrumentos internacionales, de una y por la pertenencia a la Comunidad Europea, de
otra.
141
Art. 117 Convenio de Schengen. En términos idénticos, el art. 14 del Convenio Europol.
Fiscalia.Org Pág. 59
La intervención de las comunicaciones electrónicas
Este precepto implica que los tratamientos automatizados de datos policiales a que dé
lugar una intervención telefónica ordenada por la autoridad judicial en el curso de una
investigación penal por delito grave, podrían carecer de cobertura legal. En efecto, salvo el
art. 11.h) de la Ley Orgánica 2/1986, de 12 de marzo, de Fuerzas y Cuerpos de Seguridad
(LOFCS), que prevé como función policial la de «captar, recibir y analizar cuantos datos
tengan interés para el orden y la seguridad pública, y estudiar, planificar y ejecutar los medios
y técnicas de prevención de la delincuencia» 142, no existe otra norma fuera de la LOPDP que
permita a la Policía acceder a datos personales, y mucho menos tratarlos en ficheros
automatizados. De este modo, con la cláusula incluida a consecuencia de la disputa entre la
APD y el Ministerio de Interior por la publicación en el BOE de la norma de constitución del
fichero BASETER de la Guardia Civil, destinado a la lucha antiterrorista 143, no es que haya
logrado la exclusión de la aplicación del régimen de protección de datos 144; es que se ha
privado a las Fuerzas de Seguridad de una norma habilitante para realizar tratamientos de
datos con fines de investigación.
142
Su nivel de imprecisión y de falta de previsión de garantías impide considerarlo, a la luz del art. 8.2 CDEH,
de la jurisprudencia del TEDH y del art. 9.2 Convenio 108, norma habilitante para la realización de tratamientos
automatizados de datos personales con fines policiales.
143
Sobre este aspecto, véanse nuestros trabajos ya mencionados sobre Protección constitucional, administrativa y
penal del derecho a la intimidad, y Medios informáticos y proceso penal, ya citados.
144
Sería siempre de aplicación el Convenio 108 y la Recomendación R(87) 15 relativa a tratamientos de datos
personales en el sector policial.
Fiscalia.Org Pág. 60
La intervención de las comunicaciones electrónicas
1. PLANTEAMIENTO GENERAL
Durante la primera parte de este ya extenso trabajo hemos analizado con detenimiento el
régimen legal constitucional y sectorial de protección del secreto de las comunicaciones y de
la protección de datos personales a ellas asociados. La variedad, novedad y complejidad
técnica de estas normas ha motivado un nivel de detenimiento muy superior al que ahora
exigirá esta segunda parte.
¿Por qué era preciso un análisis tan pormenorizado de las normas sectoriales?
Porque las normas procesales vigentes carecen de previsiones acerca de los nuevos
objetos de intervención, los contenidos consistentes en señales de localización, o los datos de
tráfico asociados a las comunicaciones. Dichos objetos requieren la determinación, conforme
a la doctrina del TEDH, precisa y previsible de las condiciones y garantías que deben
cumplimentarse en la ejecución de estas medidas.
Porque la diferencia de objetos susceptibles de protección, sometidos en parte a
regímenes y garantías distintas (secreto de comunicaciones para los contenidos y datos de
tráfico, protección de datos personales para los restantes tratamientos previos y posteriores a
la comunicación) permiten el acceso de las Fuerzas y Cuerpos de Seguridad a parte de las
comunicaciones, por vía del acceso a los ficheros de facturación y a las guías de abonados. Y
dichas facultades derivan de una legislación sectorial que presenta, incluso, dudas en cuanto al
ámbito de aplicación a estas materias (art. 2.2.c) LOPDP).
¿Existe una regulación homogénea, como en el campo de las comunicaciones electrónicas
y de la protección de datos personales, para satisfacer las demandas legítimas de intervención
de comunicaciones en una investigación penal? ¿Cuál es el panorama legal de cobertura en
Derecho Español? ¿Son lícitos los sistemas de vigilancia global de las comunicaciones?
¿Tiene alguna incidencia el empleo de la criptografía en el régimen legal de intervención?
¿Qué papel les corresponde a los proveedores de servicios de comunicaciones electrónicas en
este nuevo entorno? Pretendemos dar contestación, o al menos aproximarnos al estado actual
de estas cuestiones, a lo largo de las próximas páginas.
Sí podemos adelantar algo: el Derecho Español carece de normas propias para satisfacer
los requisitos exigidos por el art. 8.2 CEDH a la restricciones al derecho a la vida privada y a
la correspondencia. Únicamente por cumplimiento de los compromisos internacionales a los
que aludiremos, España se verá compelida a modificar, de una vez, las obsoletas previsiones
contenidas en la Ley de Enjuiciamiento Criminal relativas a la medida de intervención de las
comunicaciones.
La naturaleza internacional de las comunicaciones electrónicas, sobre todo debido a la
expansión de la red Internet, precisa de una regulación de carácter multinacional que
determine un nivel homogéneo de previsiones y garantías para el cumplimiento de estas
necesarias medidas para la seguridad pública y estatal. Las actuales previsiones en desarrollo
(el Convenio sobre el Cibercrimen, en el marco del Consejo de Europa; el Convenio de mutua
asistencia penal entre los Estados miembros de la Unión Europea, actualmente en fase de
ratificación por sus partícipes) centrarán nuestro examen como normas que, en un futuro no
muy lejano, determinarán las bases de la regulación interna.
En cuanto a las normas internas aplicables a las intervenciones de comunicaciones o de
sus datos asociados, escudriñaremos la posibilidad de emplear los preceptos actualmente
vigentes como normas de cobertura, además de los criterios jurisprudencialmente
Fiscalia.Org Pág. 61
La intervención de las comunicaciones electrónicas
sistematizados con los que aquéllos han de integrarse. Especial atención merecerá el empleo
de la criptografía como mecanismo de seguridad de las comunicaciones, y su incidencia en las
investigaciones penales.
Por último, revisaremos la cuestión de la consistencia legal de los sistemas de vigilancia
global en el ámbito europeo. ECHELON es un plato que, hoy día, cuando se habla de
intervención de comunicaciones, no puede faltar en la mesa.
145
Un estudio resumen de las normas sobre intervención de comunicaciones puede hallarse en uno de los
informes del STOA (Scientific and Technical Options Assestment) del Parlamento Europeo) sobre la red
ECHELON «Development pf surveillance techonolgy and risk of abuse of economic information. Part 2/4: The
legality of the interception of electronic communications: A concise survey of the principal legal issues under
international, European and national law». http://www.europarl.eu.int/stoa/default_en.htm
146
Aunque, paradójicamente, es el país donde el Gobierno comete las mayores invasiones a la privacidad de sus
ciudadanos y del resto del mundo por su condición de potencia hegemónica.
Fiscalia.Org Pág. 62
La intervención de las comunicaciones electrónicas
147
Seguimos en este análisis el interesante estudio SAVITCH, Jonathan, «Destination: E-mail, Crime and Civil
Liberties». http://www.collegehill.com/ilp-news/savitch.html (16/02/1998)
148
Este planteamiento es la base de la conocida doctrina del «fruto del árbol envenenado», con fundamento en
nuestro Derecho interno en el art. 11.1 LOPJ, en cuya virtud son excluidas todas aquellas pruebas que deriven de
una prueba obtenida con violación de derechos fundamentales, esto es, en «conexión de antijuridicidad» con el
acto de violación del derecho fundamental.
Fiscalia.Org Pág. 63
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 64
La intervención de las comunicaciones electrónicas
A pesar de los avances que supone con respecto a la regulación de 1.968, la ECPA tiene
una virtualidad garantista reducida en cuanto a las comunicaciones electrónicas. En primer
lugar, las penas establecidas se reducen a las de naturaleza económica, pago de costas y
remoción de los mensajes indebidamente interceptados, estableciéndose unas consecuencias
distintas que para las intervenciones telefónicas. Es decir, no se produce una aplicación de las
reglas probatorias de exclusión, razón por la que los mensajes indebidamente obtenidos sirven
como prueba. Con todo, la ECPA sí proporciona una determinación objetiva de la primera
parte del «test de privacidad», favoreciendo con ello la aplicación de la IV Enmienda como
mecanismo de protección procesal frente a pruebas ilícitamente obtenidas.
Por su parte, CALEA fue diseñada por las agencias federales norteamericanas a través del
Seminario ILETS 157, una serie de reuniones sostenidas en la sede de la Agencia Federal de
Investigación (FBI) durante el año 1.993 con representantes de agencias homólogas de otros
países, incluidos los europeos 158. El objeto era elaborar una lista de requerimientos
tecnológicos que los fabricantes de productos informáticos y de comunicaciones electrónicas
debían implementar en sus aparatos para permitir la realización de intervenciones cuando se
contara con autorización judicial. La norma preveía una subvención estatal de quinientos
millones de dólares para hacer frente a los gastos ocasionados, lo que ha motivado la
suspensión en la aplicación de la ley hasta fecha reciente.
La importancia de esta norma ha sido su ejemplo para la adopción de normas similares en
la Comunidad Europea, como fue la Resolución de la Comisión de 17/01/1995, a la que
posteriormente aludiremos.
CALEA reclama de los operadores de telecomunicaciones la posibilidad de acceder tanto
a los contenidos como a los datos de identificación, sin que alcance a obligarles a facilitar el
texto descifrado de una comunicación remitida con protección criptográfica -salvo que los
mecanismos de cifrado hubieran sido ofrecidos por el propio operador– 159.
2.1.b) Reino Unido
La regulación de la intervención de comunicaciones estaba contenida en la Interception
of Communications Act de 1.985, aprobada tras la condena del Reiuno Unido por el TEDh en
el caso Malone, que ha sido recientemente modificada por la Regulation of Investigation
Powers Act (RIPA) de mayo de 2000 160.
Esta norma regula todo el estatuto jurídico de las intervenciones de comunicaciones tanto
de contenidos como de datos de identificación y tráfico –incluidos los protegidos mediante
encriptación–, ya sea en labores de investigación criminal como de Inteligencia para la
Seguridad del Estado.
Se trata de una norma que recoge las situación actual de la tecnología, estableciendo
provisiones específicas para la intervención de contenidos y de datos de tráfico asociados con
ellas. Sin embargo, la amplitud de poderes atribuidos a la Policía, incluido la sanción penal a
157
International Law Enforcement Telecommunications Seminar, Seminario Internacional de
Telecomunicaciones sobre Cumplimiento de la Ley.
158
QUIRANTES, Arturo, «Investigación especial: ILETS y el asunto Enfopol 98»
http://ugr.es/~aquiran/cripto/enfopol/enfo02.html
159
Esta norma es también recogida en el art. 52.3 LGT española.
160
http://www.legislation.hmso.gov.uk/acts/acts2000/20000023.htm
Fiscalia.Org Pág. 65
La intervención de las comunicaciones electrónicas
quien desobedezca una orden de entrega de las claves de cifrado con que se haya protegido un
mensaje, ha levantado la suspicacia y recelo de la opinión pública inglesa 161
2.1.c) Alemania
Los arts. 100ª y 100b incluyen el régimen jurídico de intervención de
telecomunicaciones. El primero de ellos recoge la lista de delitos graves por los que se
autoriza a adoptar esta medida, determinándose el régimen de intervención en el segundo.
Básicamente la medida requiere adopción judicial, salvo casos de urgencia, en que puede
ser acordada provisionalmente por el fiscal, dándose cuenta al juez en el término de tres días,
que deberá ratificarla o dejarla sin efecto.
Debe precisarse en la orden escrita el nombre y domicilio del afectado –que no precisa
haya de ser el imputado–. Igualmente, el modo, alcance y duración, que no podrá ser superior
a tres meses, con posibilidad de prórroga por igual plazo.
Para la realización de la medida, los operadores de telecomunicaciones deberán ofrecer
las capacidades técnicas precisas.
La información obtenida puede emplearse en la averiguación de otros delitos incluidos en
la lista del art. 100.a. La información que no resulte útil para la investigación deberá ser
destruida inmediatamente que se dé dicha circunstancia, levantándose acta.
Del tenor del parágrafo §100a no se desprende que la telecomunicación incluya los datos
personales, razón por la que se estima que la regulación no satisface los requisitos de
precisión exigidos por la doctrina del TEDH para dirigir las nuevas medidas de intervención
de comunicaciones electrónicas.
161
«Criticism of net snooping bill grows», 12 junio 2000
http://www.news.bbc.co.uk/hi/english/sci/tech/newsid_784000/784426.stm
162
DOCE C 379, 29/12/2000, p.0007
Fiscalia.Org Pág. 66
La intervención de las comunicaciones electrónicas
legislación interna del Estado requerido 163unido al avance tecnológico, a las reticencias
mostradas por varios países miembros del Convenio, motivaron al Consejo de Europa.
3.2. La Recomendación R (95)13
Como complemento actualizado de la Recomendación R(85)10, el 11 de septiembre de
1.995 el Comité de Ministros aprobó la Recomendación R(95)13, relativa a los problemas de
la legislación procesal penal conectados a las tecnologías de la información.
Tras justificar las directrices en la necesidad de dotar a los Estados de eficaces
instrumentos de investigación para el cumplimiento de su misión con relación a delitos
cometidos sobre sistemas de información, posibilitando así la mutua asistencia judicial penal,
el Comité estableció determinados criterios en relación con las búsquedas y comisos de datos
y pruebas informáticas, obligaciones de cooperación con las autoridades investigadoras,
pruebas electrónicas, encriptación, investigación,. Estadística y formación, así como sobre
cooperación internacional. En este último campo, el Comité abogaba por la negociación de
acuerdos internacionales específicos que determinaran cómo, cuándo y con qué extensión
podrían permitirse las búsquedas y comisos regulados en la Recomendación.
En relación con lo que la Recomendación denominaba «Vigilancia Técnica», se
establecieron los siguientes criterios:
Las legislaciones reguladoras de las intervenciones de comunicaciones deberían ser
revisadas, a la luz del fenómeno de la convergencia tecnológica entre las tecnologías
de la información y las telecomunicaciones.
Las leyes procesales deberían permitir a las autoridades encargadas de la investigación
penal disponer de las medidas técnicas precisas para recabar los datos de tráfico de las
comunicaciones en el curso de una investigación penal.
Los datos obtenidos en el curso de una interceptación legal de comunicaciones
deberían ser asegurados de la manera apropiada.
Las legislaciones procesales penales de los Estados miembros deberían ser revisadas
para hacer posible la ejecución de medidas de interceptación de comunicaciones y la
recolección de datos de tráfico a ellas asociadas para la investigación de delitos graves
contra la confidencialidad, integridad y disponibilidad de los sistemas informáticos y
de las telecomunicaciones.
De las medidas citadas, destacan por su interés la segunda, alusiva a la seguridad con que
deberían protegerse los datos recabados, así como la última, que apunta hacia la necesidad
previa de homogeneización de tipos penales para hacer posible la aplicación de las medidas
de cooperación judicial penal.
En efecto. Las medidas procesales de intervención de comunicaciones tienen por objeto
acceder al conocimiento de hechos o indicios probatorios que permitan la incriminación de su
titular como autor de un delito grave. Pero, con la convergencia tecnológica de que venimos
hablando, la diligencia judicial practicada por la Policía Judicial también origina un conjunto
de tratamiento de datos personales derivados del contenido de las comunicaciones
intervenidas, información que acrece los ficheros de datos policiales creados para la
163
Art. 3.1. Convenio Asistencia Penal: «La Parte requerida hará ejecutar, en la forma que su legislación
establezca, las comisiones rogatorias relativas a un asunto penal que le cursen las autoridades judiciales de la
Parte requirente y que tengan como fin realizar actuaciones de instrucción o transmitir piezas probatorias,
expedientes o documentos»
Fiscalia.Org Pág. 67
La intervención de las comunicaciones electrónicas
investigación penal. De este modo, la Policía accede a una información personal muy útil –
tratándose de redes de crimen organizado– que, de otra forma, no podría conocer.
La atención se centra siempre en el resultado procesal de la medida, las cintas, las
transcripciones de las conversaciones; mas no en el conjunto de datos que, como información
personal, es registrada en ficheros policiales. La doctrina del TEDH hace referencia a la
necesidad de establecer cautelas en orden a la destrucción de las cintas y del material cuando
no resulte necesario. Convendría recordar que, entre las medidas de seguridad aplicables a la
información recabada mediante estas medidas, deberían contarse la aplicación previa de las
normas del Convenio 108 relativo a la protección de las personas frente al tratamiento
automatizado de datos, especialmente de los derechos contenidos en el art. 5 relativos a la
cancelación de datos cuando dejen de ser útiles a los fines que justificaron su registro. Ello es
predicable de una forma más dramática cuando la prueba obtenida es declarada nula por
violación de las garantías que afectan a su adopción o a su ejecución, dado que el origen de
los datos devendría ilícito por serlo el acto (la intervención de las comunicaciones de las que
se han extraído) que los propició. En esos casos, la resolución judicial que así lo declarara
debería incluir un pronunciamiento específico destinado a suprimir cuanta información
hubiera sido almacenada a partir del material recogido. Sólo así podría dársele cumplimiento
al principio establecido en el art. 11.1 LOPJ, dado que entre los datos almacenados en sede
policial y la diligencia practicada y anulada por vicios insubsanables existiría la «conexión de
antijuridicidad» de la que habla el TC para extender los efectos anuladores de la decisión
judicial.
3.3. El borrador de Convenio sobre el Cibercrimen (v. 25)
A la luz de las Recomendaciones anteriores, y sobre la base de los Informes Kaspersen
(1997) 164 y Sieber (1998) 165 sobre la criminalidad informática, el Comité para Asuntos
Penales, y en especial su Grupo sobre Ciberdelincuencia, ha elaborado un borrador de
Convenio sobre el Cibercrimen. El Convenio fue elaborado en forma reservada hasta que en
diciembre de 2000 fue hecho público el borrador 19, que suscitó serias dudas acerca de su
legalidad, al establecer, entre otras medidas, la obligación de los proveedores de acceso a
Internet de registrar toda la actividad de los usuarios. En su versión 25, la parece ser que
definitiva, el Convenio ha mejorado sustancialmente el texto originario, determinando lo que
será la base de una legislación penal y procesal común que permitirá la cooperación
internacional rápido, eficaz y consistente con las obligaciones suscritos en el CEDH 166.
El Convenio tiene por objeto complementar el Convenio de 1.959 sobre cooperación
judicial en materia penal. Establece, en una primera sección, un catálogo de delitos
relacionados con la confidencialidad, integridad y disponibilidad de los datos informáticos y
de los sistemas; delitos relacionados con la informática, como la falsedad y el fraude
informáticos; delitos sobre contenidos; y delitos contra el copyright y otros derechos
relacionados. También introduce previsiones acerca de la responsabilidad de las personas
jurídicas, sobre las formas de cooperación y sobre las medidas aplicables.
En la sección procesal regula las instituciones de la preservación anticipada de datos; su
cesión parcial, las órdenes de ejecución sobre datos bajo control de los operadores, así como
164
«Implementation of Recommendation Nro. R (89) 9 on computer-related crime», de 24 de marzo de 1.997.
CDPC (97)5; PC-CY (97)5.
165
«Legal aspects of computer-related crimes in the Information Society –Comcrime Study– », de 1 de enero de
1.998. Disponible en http://www.fiscalia.org/doctdocu/doct
166
En esta última versión ha sido objeto del Dictamen 4/2001, de 22 de marzo, del Grupo de Protección de las
Personas 5001/01/ES/Final WP41.
Fiscalia.Org Pág. 68
La intervención de las comunicaciones electrónicas
167
PE 168184/Vol. 1/5/EN
168
Tanto en los informes sobre la red ECHELON elaborados por STOA durante 1.997 y 1999, se hacía alusión a
la desviación del objetivo inicial del espionaje militar al económico en beneficio de empresas norteamericanas en
detrimento de las europeas, como Airbus y Thomson, que fueron aparentemente víctimas de la intervención del
gobierno norteamericano en ayuda de sus competidoras de dicho origen.
Fiscalia.Org Pág. 69
La intervención de las comunicaciones electrónicas
169
Este tipo de proyectos está en fase de desarrollo en algunos países: «El MI-5 prepara un centro de control de
la red británica», Diario del Navegante, 1 de mayo de 2000 http://www.el-
mundo.es/navegante/diario/2000/05/01/mi5.html
170
La más importante consta en el documento ENFOPOL 10951/98, de 3 de septiembre, disponible en
http://ugr.es/~aquiran/cripto/enfopol/enfo09.htm .
171
Informe de 23 de abril de 1.999. P. Gerhard Schmid. Disponible en http://www.arnal.es/free/info/enfo.htm
172
5005/99/def. WP 1, adoptada el 3 de Mayo de 1999., en Memoria APD 1.999, págs. 566-573.
Fiscalia.Org Pág. 70
La intervención de las comunicaciones electrónicas
términos del CEDH. Igual cabe decir del riesgo de desvío en el empleo de los medios de
interceptación para fines distintos a los de la defensa de la seguridad nacional.
El hecho de que puedan producirse estas interceptaciones no implica, desde el punto de
vista del ciudadano, una merma de sus derechos a la confidencialidad y a la seguridad de sus
comunicaciones. Por ello, los operadores de telecomunicaciones habrán de esforzarse en
adaptar las medidas necesarias para mantener el nivel de una confidencialidad que, sobre
todo, sigue siendo la regla, no la excepción.
Las conclusiones a las que llegó el grupo se referían a la necesidad de que las
legislaciones internas precisaran las condiciones y garantías en que dichas medidas podrían
llevarse a cabo.
También el Grupo de Trabajo sobre Telecomunicaciones emitió una Posición Común
sobre la responsabilidad pública en relación con la interceptación de comunicaciones
privadas, adoptada el 15 de abril de 1998. En dicho documento, el grupo reclamó la adopción
de un régimen de garantías consistente en el establecimiento de un registro de grabaciones
efectuadas, de monitorización y auditorias de las actividades de interceptación desarrolladas,
así como en la exigencia de presentación de informes públicos y periódicos sobre las
actividades de interceptación de comunicaciones.
Con todas estas opiniones, es clara que en el seno de la Unión existe una amplia y
profunda preocupación por el régimen futuro a que han de quedar sometidas este tipo de
medidas, así como la forma –en gran parte secreta– en que se está desarrollando el proceso de
convergencia legislativa entre los Estados de la Comunidad.
173
Un estudio sobre el mismo puede hallarse en RODRÍGUEZ SOL, Luis, «El nuevo Convenio de Asistencia
Judicial en Materia Penal entre los Estados miembros de la Unión Europea», en La Ley nº 5244, 9 de febrero de
2001.
174
Este Convenio se complementará con la Acción Común de 29 de junio de 1998, sobre buenas prácticas de
asistencia judicial en materia penal 98/427/JAI (DOCE L 191, de 7 de julio de 1.998).
Fiscalia.Org Pág. 71
La intervención de las comunicaciones electrónicas
175
Puede encontrarse el texto de esta resolución en «El Consejo de Europa y la protección de datos personales»,
Madrid, 1.997, págs. 105-114.
Fiscalia.Org Pág. 72
La intervención de las comunicaciones electrónicas
176
No obstante, LÓPEZ-BARJA considera que la diferencia entre ambos tipos de medida se halla en función de
la condición personal del afectado. Puesto que la intervención supone una medida más invasora de la intimidad,
sólo cabrá frente a imputados o procesados, en tanto que la mera observación podrá acordarse ante sólo
sospechosos.
177
No bastará por ello cualquier información que quepa conocer a través de esta diligencia, sino que requerirá
cierta entidad para el curso de la investigación, lo que deberá ser ponderado en el auto motivado que se dicte
178
A consecuencia de las condenas a miembros de los servicios de inteligencia españoles por escuchas ilegales,
recientemente ratificadas por el Tribunal Supremo, el Gobierno preparó un anteproyecto de ley reguladora de las
actividades del CESID, en el que se preveía el control de las peticiones de escuchas relacionadas con los
supuestos del art. 579.4 por un magistrado del TS con experiencia penal elegido por el CGPJ de entre una terna
presentada por la Sala de Gobierno, previa audiencia de la Comisión de Secretos Oficiales del Congreso de los
Diputados. Las escuchas así acoradas podrían durar un plazo de entre seis meses y un año, siendo
exclusivamente revisadas por dicho magistrado, destruyéndose el material una vez realizada la investigación. La
solicitud deberá incluir el nombre y domicilio del afectado, los hechos, fines y razones que la justifican y la
duración prevista. El procedimiento tendrá la consideración de secreto, dándose cuenta por el magistrado
especial al juez competente., Se prevé, asimismo, una autorización por el director del CESID para los supuestos
del art. 579.4, efectuándose en este caso el control judicial a posteriori. Diario El País, 14 de junio y 8 de julio de
1.998 y 2 de enero de 1.999.
Fiscalia.Org Pág. 73
La intervención de las comunicaciones electrónicas
179
Acertadamente pone de relieve DE LLERA SUÁREZ-BÁRCENA la dificultad de admisión de esa función
integradora de una fuente jurídica que, de acuerdo con el art. 1.6 del Código Civil, únicamente complementará el
ordenamiento jurídico, de la que no cabe predicar el rango jerárquico suficiente para cubrir la reserva de ley
prevista en el ar. 81.1 CE. DE LLERA SUÁREZ-BÁRCENA, op.cit. pág. 481.
180
DE LLERA SUÁREZ-BÁRCENA, op.cit. pág. 482.
181
HERNÁNDEZ GUERRERO, Francisco J. Y ÁLVAREZ DE LOS RIÓS, José Luis, «Medios informáticos y
proceso penal» en Estudios Jurídicos del Ministerio Fiscal , op.cit. pág. 497.
182
Téngase en cuenta que las medidas de intervención del correo se están desarrollando de esta manera por la
Policía Judicial. Además, los delitos con ellas investigados no pueden considerarse como delitos graves que
justifican medidas de tan honda intromisión en la vida privada ,atendidas las penas previstas en el Código Penal
(delitos contra la propiedad intelectual, delitos relativos a difusión de material pornográfico de menores).
Fiscalia.Org Pág. 74
La intervención de las comunicaciones electrónicas
183
De hecho, la Circular 1/1999 FGE alude a la necesidad de que el Fiscal reclame la declaración de secreto de
las actuaciones en las que se acuerde la intervención de las comunicaciones, debiendo por ello incrementar el
celo en el cumplimiento de las medidas de garantía.
184
SIEBER, U, op.cit. págs.111-114.
185
SIEBER, U, op.cit., pág. 116
Fiscalia.Org Pág. 75
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 76
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 77
La intervención de las comunicaciones electrónicas
195
Art. 15 BCCyb. Esta referencia a la aplicación, en su caso, del principio de proporcionalidad, ha sido
fuertemente criticada por el Grupo de Protección de las Personas en su dictamen 4/2001, que considera que no ha
de admitirse excepción ni opción a su valoración en ningún caso, tal y como parece desprenderse del tenor del
borrador de Convenio.
196
Parágrafo 190 ME.
Fiscalia.Org Pág. 78
La intervención de las comunicaciones electrónicas
Los contenidos a captar pueden ser interceptados tanto de redes públicas como privadas
197
. En tal sentido, y a diferencia de lo que ocurre con la legislación sectorial (DT, LGT) que
se refiere a los servicios públicos de comunicaciones electrónicas que operan sobre las redes
públicas de telecomunicaciones, la protección ampara la interceptación de contenidos que
pueda realizarse en el ámbito de una Intranet, o de una red de comunicaciones de una entidad
o empresa.198.
La medida se permite sólo en relación a «específicas comunicaciones en su territorio
transmitida por medio de un sistema informático». La comunicación a través de terminales
habituales de telecomunicación (teléfonos fijos, faxes, teléfonos móviles) parece que no
estarían incluidas en el marco de aplicación de este precepto, lo que no es coherente con la
pretendida neutralidad tecnológica buscada para hacer posible su aplicación a los nuevos
medios y servicios de comunicación electrónica 199. La referencia a comunicaciones
específicas impide su aplicación a sistemas de vigilancia global de las comunicaciones,
actividad denominada COMINT (inteligencia de comunicaciones).
Más difícil es la determinación de cuándo la comunicación se produce en su territorio.
Como a continuación veremos en el Convenio de 29 de mayo de 2000 de la Uinión Europea,
las modernas tecnologías de las comunicaciones permiten establecer comunicaciones desde
un país conectado a una estación de recepción/emisión de las señales vía satélite ubicada en
otro país, o dirigidas a una antena o célula de telefonía móvil existente en otro país (caso de
territorios fronterizos). Parece lógico pensar que la comunicación se produce en el territorio
cuando el sujeto que la efectúa o recibe se halla en el territorio del Estado, con independencia
de dónde se hallen los medios técnicos de transmisión de las señales.
Las intervenciones de contenidos sólo se prevén para la investigación de delitos graves.
La ME refiere los mismos criterios manejados por la doctrina del TEDH para apreciar tanto la
gravedad del delito como igualmente las garantías aludidas por referencia a los arts. 14 y 15
200
197
Par. 191 ME.
198
A tal efecto, el BCCyb ofrece una definición propia de proveedor de servicios en su art. 1.c): «cualquier
entidad pública o privada que provee a los usuarios de su servicio de la capacidad de comunicarse por medio de
un sistema informático, así como cualquier otra entidad que procesa o almacena datos informáticos por tales
servicios de comunicación o de los usuarios de dichos servicios.»
199
¿Cómo deben considerarse categorizados los terminales telefónicos móviles de tecnología GPRS o UMTS,
que permiten el acceso a contenidos y prestaciones de Internet?. Entendemos que la posibilidad de emplear no
terminales, sino protocolos Internet (IPv4 ó 6), hará posible intervenir bajo estos preceptos las comunicaciones
que a través de ellos se emitan o reciban.
200
Pars. 196. y 199 ME.
201
Con ello se pretende someter toda la práctica de medidas de cooperación judicial internacional a las mismas
normas, favoreciendo su conocimiento y ejecución por los órganos encargados de ello. Par. 259.
Fiscalia.Org Pág. 79
La intervención de las comunicaciones electrónicas
202
La medida, como indica el parágrafo 260 ME, no puede suponer la imposibilidad de frustrar el resultado de la
medida, impidiendo por ejemplo la utilización en juicio del material empleado.
203
Debido al propósito de favorecer la utilización del material obtenido mediante la cooperación judicial, la
condición ha de ser expresamente invocada por el Estado requerido, dado que no existe una prohibición expresa
de empleo en el Convenio. Par. 261.
204
No siempre será así. El art. 138.2 de la LEC, de aplicación subsidiaria al proceso penal (art. 4 LEC), prevé
que: «Las actuaciones a que se refiere el apartado anterior podrán, no obstante, celebrarse a puerta cerrada
cuando ello sea necesario para la protección del orden público o de la seguridad nacional en una sociedad
democrática, o cuando los intereses de los menores o la protección de la vida privada de las partes y de otros
derechos y libertades lo exijan o, en fin, en la medida en la que el tribunal lo considere estrictamente necesario,
cuando por la concurrencia de circunstancias especiales la publicidad pudiera perjudicar a los intereses de la
justicia.». Por su parte, el art. 140.3, en relación con las actuaciones escritas, prevé que «No obstante lo
dispuesto en los apartados anteriores, los tribunales por medio de auto podrán atribuir carácter reservado a la
totalidad o a parte de los autos cuando tal medida resulte justificada en atención a las circunstancias expresadas
por el apartado 2 del art. 138.». Por tanto, podrán imponerse estas condiciones siempre que, con arreglo al
derecho interno del estado requerido, puedan ser satisfechas.
205
Par. 280 ME
Fiscalia.Org Pág. 80
La intervención de las comunicaciones electrónicas
posibilidad de que, a consecuencia de los nuevos medios tecnológicos 206, el Estado en que se
halle el individuo sometido a la medida sea incapaz técnicamente de poder realizar por sus
propios medios la intervención. De igual modo, un país puede intervenir las comunicaciones
de una persona que se halle en el territorio de otro sin requerir su participación ni auxilio.207
En el objeto de intervención, el Informe explicativo alude al empleo del término
telecomunicaciones para abarcar todas las posibilidades actuales y futuras de comunicaciones.
Dicha referencia incluye los datos de tráfico anexas a dichas comunicaciones.
Las previsiones de este Titulo vienen a derogar parcialmente las del Convenio de 1.959
cuando se trate de comisiones rogatorias que tengan por objeto la realización de
intervenciones de comunicaciones, como era el caso del art, 18, relativo al contenido de la
comisión rogatoria, que deberá cumplir los requisitos del nuevo art. 18.
La regulación que contiene el Convenio es muy compleja tecnológicamente, pues abarca
dos modalidades (la intervención y transmisión inmediata; y la intervención, grabación y
posterior transmisión, art. 18.1), y varias posibilidades tecnológicas (que pueda desarrollarse
la intervención mediante la intervención del Estado requerido, sin la intervención de éste por
medios propios, o mediante la intervención de un tercer Estado a través de los medios
tecnológicos instalados en éste).
El criterio de conexión para la determinación de la competencia para su ejecución está
previsto en el art. 18.2: la localización del afectado bien en el Estado requirente o en el
Estado requerido.
Las peticiones deberán incluir la identificación tanto de la persona afectada como de la
autoridad que autoriza la medida, la conducta perseguida, la duración deseada de la
intervención, y los datos técnicos suficientes para proceder a la intervención. Cuando se
pretenda la intervención en el Estado requerido de una persona que se halle en su territorio, el
art. 18.4 exige además acompañar un resumen de hechos, a fin de permitir valorar si se
hubiera adoptado dicha medida en un caso nacional.
La medida se adoptará –art. 18.5– de forma automática cuando se trate de peticiones de
asistencia técnica para practicar la intervención en el Estado requirente o en un tercer país; y
se supeditará al examen del Derecho interno en caso de que la persona se hallare en el
territorio del Estado requerido.
Se podrán solicitar transcripciones de la grabación. Para ello, el Estado requirente deberá
dar las explicaciones pertinentes para acreditar la necesidad de éstas.
Todo el material deberá tratar la información con carácter confidencial, de acuerdo con su
Derecho interno. Ello obligará a dictar las normas sobre secreto de actuaciones (art. 301 y 302
LECr., así como 140.2 LEC). No se establece el plazo de confidencialidad a mantener por el
Estado requirente, por lo que parece que bastará el cumplimiento de los plazos determinados
por el Derecho interno.
El art. 19 hace referencia a la utilización de «mandos a distancia» en las intervención de
comunicaciones víua satélite. La expresión empleada en el Convenio sirve para designar a los
dispositivos técnicos que permiten el envío a su territorio desde una estación terrestre
(pasarela) de recepción de señales de satélite no instalada en su territorio, a través de un
proveedor de servicios de comunicaciones que mantiene un establecimiento en su territorio.
206
La telefonía vía satélite –IRIDIUM–, o las tecnologías de tercera generación UMTS, que permiten conexiones
IP.
207
Véase en detalle el informe explicativo del Convenio, DOCE C 379 29/12/2000, pág. 0007.
Fiscalia.Org Pág. 81
La intervención de las comunicaciones electrónicas
208
En este caso, de acuerdo con el art. 18.2.a), el Estado que posee el mando a distancia no se halla en condición
de solicitar la asistencia de otro Estado (el que aloja la estación terrestre) por cuanto ya posee medios técnicos
para realizar por sí la intervención. Sin embargo, con el empleo de la telefonía móvil por satélite, el usuario
puede desplazarse por diversos países que se hallan bajo la cobertura del satélite. En estos casos, en vez de dictar
tantas órdenes de intervención como países visite (el criterio de competencia lo determina, no olvidemos, la
localización del sujeto investigado), se permite solicitar la asistencia técnica del país en que se halla la estación
terrestre, solicitándole (a pesar de contar con el mando a distancia, que sólo puede emplear para las
intervenciones de comunicaciones de personas que se hallen en su territorio) que intervenga las comunicaciones
que pueda captar la estación terrestre.
Fiscalia.Org Pág. 82
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 83
La intervención de las comunicaciones electrónicas
permitir a las autoridades identificar el proveedor de servicios y la ruta a través de la cual fue
transmitida la comunicación.
209
De acuerdo con la definición de proveedor de servicios que contiene el Convenio, no parece que en esta
categoría deban quedar incluidas las personas y entidades que suministran contenidos a través de las redes, a
quienes sí les afectará las obligaciones de identificación que más adelante estudiaremos establecida por la
Directiva 2000/31/CE, relativa a los aspectos jurídicos de los servicios de la sociedad de la información y el
comercio electrónico.
210
Aparte del ya mencionado Dictamen 4/2001, de 22 de marzo, del Grupo de Protección de las Personas,
pueden citarse las Cartas abiertas remitidas desde GILC (Global Internet for Liberty Campaign, Campaña por la
Libertad Global en Internet) de 13 de octubre y 12 de diciembre de 2000; http://www.gilc.org/privacy/coe-letter-
1200-es.htm y ; http://www.gilc.org/privacy/coe-letter-1000-es.htm.
211
El art. 6.1 DT establece, como ya dijimos, que los datos de tráfico serán borrados una vez concluya la
comunicación, no obstante, el párrafo 4º sí admite la posibilidad de su comunicación a la autoridad judicial.
Recordemos que, según el art. 14, la DT no se aplica a las actividades de investigación y aplicación de la ley
penal, por lo que una norma procesal o relativa a la actividad policial podría imponer una condición contraria,
siempre referida a un sujeto concreto cuyas comunicaciones fueran objeto de seguimiento u observación.
212
Par. 136-137 ME.
Fiscalia.Org Pág. 84
La intervención de las comunicaciones electrónicas
El parágrafo 138 ME también aclara que esta facultad no implica la restricción añadida a
los proveedores de impedir u ofertar servicios de acceso anónimos que no permiten su
aplicación.
La medida se justifica por el Grupo de Delitos Informáticos elaborador del Borrador
sobre la base de los siguientes argumentos 213:
Es una medida menos perjudicial para el sujeto investigado y para los operadores de
servicios que la realización de una orden de registro y comiso de datos, prevista
también en el BCCyb. (art. 19).
La identificación de las fuentes de origen de las comunicaciones informáticas pueden
constituir una herramienta esencial para la averiguación de la identidad de los
autores de delitos informáticos o relacionados con las tecnologías de la información.
La preservación de esta información constituye un útil instrumento para el
aseguramiento de pruebas críticas para los procesos penales contra los autores de los
hechos.
La preservación no implica, como analiza la ME, una «congelación» de los datos,
haciéndolos inaccesibles para cualquier otro uso. Únicamente exige su mantenimiento,
permitiéndose otros usos legítimos por el proveedor o por quien realice por él el tratamiento
de almacenamiento, o incluso la realización de copias de los mismos. No obstante, la
adopción de una medida de esta naturaleza supondrá una obligación de colaboración
manifestada en el deber de mantener la confidencialidad de la intervención acordada, para
garantizar la eficacia de la medida y los posibles deterioros y modificaciones de la
información preservada 214.
Nada se explicita acerca de la duración de esta obligación, que el BCCyb. deja a la
determinación del Derecho interno. No obstante, cuando regula la medida como provisional a
la ejecución de una petición de asistencia judicial internacional, el art. 30 hace referencia al
mantenimiento de la medida al menos por sesenta días.
Específicamente destinada a tratar aspectos derivados de la naturaleza de los datos de
tráfico, el art. 17 determina la posibilidad de ordenar al proveedor de servicios la
comunicación a la autoridad competente los datos precisos para averiguar otros proveedores
que hayan participado en la transmisión así como la ruta de esta, permitiendo así
recomponer el recorrido de las comunicaciones y llegar a los autores del hecho. La autoridad
investigadora deberá indicar los datos concretos a comunicar, pudiendo dictarse la orden bien
conjuntamente para todos los proveedores que resulten identificados sucesivamente, bien de
forma individualizada para cada uno de ello conforma vayan siendo conocidos. O incluso
cabe pensar en la posibilidad de la comunicación entre proveedores en orden a cumplir
voluntariamente la orden, no borrando los datos en el plazo habitual sino tras el determinado
por la orden de preservación 215.
3.3.b) Colección o registro de datos en tiempo real
El art. 20 BCCyb. se dedica al delicado problema de la interceptación de datos de tráfico
en tiempo real, esto es, en el curso de la comunicación. En la terminología de la LECr.,
constituiría una medida de observación de las comunicaciones del imputado.
213
Par. 140 ME.
214
En el par. 147 se recoge también al interés en mantener la protección de la intimidad de las personas aludidas
en las comunicaciones.
215
Par. 152 ME.
Fiscalia.Org Pág. 85
La intervención de las comunicaciones electrónicas
Fiscalia.Org Pág. 86
La intervención de las comunicaciones electrónicas
219
Par. 198 ME.
220
Caso de las amenazas o injurias cometidos por correo electrónico o por difusión en una página web, o a través
de un foro de noticias.
La ME indica, en su parágrafo 268, la tendencia a eliminar el requisito de la doble incriminación para la
ejecución de peticiones de cooperación consistentes en medidas poco intrusivas, como pudieran constituir estos
Fiscalia.Org Pág. 87
La intervención de las comunicaciones electrónicas
casos –si se las compara con las órdenes de registro e intervención–. Además, puede necesitarse tiempo y
análisis de la información –que puede alcanzar volúmenes elevados– para determinar desde el Estado requirente
la existencia de dicho requisito, pudiendo entretanto perderse unos datos de por sí volátiles.
221
Estudios en profundidad sobre el panorama regulador de la criptografía pueden consultarse en GALINDO,
Fernando, Derecho e Informática, Madrid, 1.998; y La admisión como prueba en juicios de carácter penal de
documentos electrónicos firmados digitalmente (Informe sobre el proyecto Aequitas) Julio 1.998.
Fiscalia.Org Pág. 88
La intervención de las comunicaciones electrónicas
222
POKEMPNER, DINA, Encryptation in the service of Human Rights,
http://www.aaa.org/spp/dspp/cstc/briefing/crypto/dinah.htm
223
Se habla de criptografía fuerte para referirse a aquellos productos hardware o software dotados de unos
algoritmos de cifrado lo suficientemente potentes a ataques de descifrado como para poder considerarse seguros
dentro del estado actual de la tecnología.
224
Recordemos que, como estudiamos en la regulación de protección de datos el art. 26 RMS exige su empleo
para las telecomunicaciones de datos personales de alto nivel de seguridad (art. 26).
225
DENNING, Dorothy E., «To tap or not to tap», en Comm. Of the ACM, Vol. 36, nº 3, Marzo 1993.
226
Como define la Recomendación de la OCDE, texto en claro es «datos inteligibles»
Fiscalia.Org Pág. 89
La intervención de las comunicaciones electrónicas
227
Hacia un marco europeo para la firma digital, COM (1998) 258 final. Y Dirctiva 1999/93/CE, de 15 de
diciembre, sobre firma electrónica.
228
STOA, «Development of surveillance technology and risk of abuse of economic information», Part. 1/5.
Fiscalia.Org Pág. 90
La intervención de las comunicaciones electrónicas
229
Orden del Ministerio de Economía y Hacienda de 26 de julio de 1.999.
230
«La cesión de la clave privada de confidencialidad, únicamente tendrá lugar para la salvaguardia de intereses
dignos de protección que exijan el conocimiento de este dato.»
231
Al fin y a la postre su uso es legítimo, de acuerdo con el art. 52.1 LGT, para asegurarlas. De nada serviría
dicha declaración si el dato personal en que la clave de confidencialidad consiste pudiera ser tratado como u dato
inocuo más.
232
Otra cosa podría afirmarse de los que las tuvieran en su poder, quienes sí podrían incurrir en delito de
encubrimiento si tuvieran conocimiento del hecho cometido por el culpable y le auxiliaran «ocultando, alterando
o inutilizando el cuerpo, los efectos o los instrumentos de un delito, para impedir su descubrimiento (art. 451.2
CP).
Fiscalia.Org Pág. 91
La intervención de las comunicaciones electrónicas
233
En nuestro caso, al art. 22.2 a 4 LOPDP
234
Nada obstará a que la regla de legitimación venga incluida en una legislación genérica de protección de datos
personales, o en una específica sobre proceso penal o sobre actividad policial.
235
Par. 155 ME.
236
En el régimen procesal alemán este tipo de medida, denominada «redada de datos» o «búsqueda entrecruzada
de rasgos distintivos», sólo puede ser acordada de acuerdo con lo previsto en el §163b en caso de delitos
cometidos por bandas armadas o elementos terroristas, o relacionados con las telecomunicaciones. Véase,
GURIDI ETXEBARRÍA, La protección de datos de carácter personal en el ámbito de la investigación penal,
Madrid, 1998, págs. 230 y ss.
237
Para preparar las peticiones de autorizaciones de intervención, en función del tipo de comunicación a
intervenir.
Fiscalia.Org Pág. 92
La intervención de las comunicaciones electrónicas
238
El art. 118 Ce establece que «Es obligado cumplir las sentencias y demás resoluciones firmes de los Jueces y
Tribunales, así como prestar la colaboración requerida por éstos en el curso del proceso y en la ejecución de lo
resuelto».
Por su parte, el art. 17.1 LOPJ previene que ««Todas las personas y entidades públicas y privadas están
obligadas a prestar, en la forma que la ley establezca, la colaboración requerida por los Jueces y Tribunales en el
curso del proceso y en la ejecución de lo resuelto, con las excepciones que establezcan la Constitución y las
leyes, y sin perjuicio del resarcimiento de los gastos y del abono de las remuneraciones debidas que procedan
conforme a la ley.»
239
Considera dicho precepto la cesión como el resultado de una comunicación, consulta, interconexión o
transferencia, más que como una operación.
240
«No será preciso el consentimiento cuando los datos de carácter personal [...] se recojan para el ejercicio de
las funciones propias de las Administraciones Públicas en el ámbito de sus competencias»
Fiscalia.Org Pág. 93
La intervención de las comunicaciones electrónicas
tienen atribuidas (art. 11.2.d). Las transferencias internacionales de datos en el ámbito judicial
por órganos judiciales extranjeros, está exenta de autorización previa del Director de la
Agencia de Protección de Datos de acuerdo con los arts. 34.b) LOPDP y 4.2 RD 1332/1994,
de 20 de julio, de desarrollo de la LOPDP.
Las funciones legítimas a las que se hacen referencia no son otras que las previstas en el
art. 299 y 303 LECr., para el Juez de Instrucción, y 785 bis LECr en el caso del Ministerio
Fiscal, dentro del ámbito penal.
La forma que deberá revestir la solicitud de información viene establecida por la
regulación general procesal. De acuerdo con el art. 141.3 LECr la admisión o denegación de
prueba deberá revestir la forma de auto 241, si bien la jurisprudencia admite tácitamente la
forma de providencia siempre que vaya acompañada de la necesaria fundamentación -
verdadera razón de ser de la forma auto, según el inciso final del art. 141.3 citado-. No
obstante, tratándose de la solicitud de datos sensibles, al verse afectados otros derechos
fundamentales como la libertad ideológica y religiosa (art. 16.1 CE) o la intimidad o vida
privada (art. 8.1 CEDH y 18.1 CE), estimamos más conveniente la adopción de la resolución
por medio de auto, al igual que se establece en los arts. 550, 558 y 579 LECr., al regular las
entradas y registros domiciliarios y la intervención u observación de las comunicaciones
telefónicas, postales o telegráficas. En tales casos no sólo habrá que admitir o denegarse la
prueba sobre tales datos, sino que -en virtud de los principios de proporcionalidad y de
protección de datos personales- será preciso establecer qué datos en concreto y qué régimen
de acceso y custodia deberá concederse a los mismos. Ha de tenerse en cuenta que las
excepciones a los principios y derechos de protección de datos previstas por el art. 9 del
Convenio 108 no alcanzan a las medidas de seguridad que afectan a todos cuantos traten con
datos automatizados en todas sus fases -incluída, por tanto, la fase de cesión- 242. Dicha
prevención se manifiesta también en la imposición de un deber de secreto a quienes traten
datos personales en cualquier fase del tratamiento, quedando por ello sometidos al catálogo de
infracciones previstas por la propia LOPDP en el art. 44.3g) y 44.4.g) 243. La necesidad de
fundar todas estas decisiones sostienen la razonabilidad de tal requisito formal.
Como quiera que ni los datos personales consistentes en información de abonado ni los
datos de facturación, incluidos los números de llamada, pueden considerarse datos de tráfico –
únicos amparados en la protección adicional dispensada por el art. 18.3 CE del secreto de las
comunicaciones– la forma de la resolución que permita acceder o reclamarlos no tendrá que
ser necesariamente la de Auto, bastando una providencia.
4.4.b) El acceso del Fiscal a los datos personales
Las normas informacionales «de primer nivel» (las que regulan el tratamiento de la
información: normativa genérica de protección de datos) confieren una habilitación
241
Así se infiere también del art. 311.2 LECr, que hace referencia al auto denegatorio de las diligencias
solicitadas por el Fiscal o las partes personadas en el sumario. No cabe entender, por la interpretación conjunta
de ambos preceptos, que sólo la decisión negativa haya de revestir esa forma, pudiendo dictarse providencia para
su admisión, por más que sea esa la forma normal de tramitarse las peticiones probatorias de las partes en los
procedimientos penales.
242
El art. 7 del Convenio 108 establece que «Se tomarán medidas de seguridad apropiadas para la protección de
datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada,
o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados»
243
El art. 44.3.g) LOPDP considera infracción grave «La vulneración del deber de guardar secreto, cuando no
constituya infracción muy grave»; considerando muy grave el apartado 4.g) «La vulneración del deber de
guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7».
Fiscalia.Org Pág. 94
La intervención de las comunicaciones electrónicas
suficientemente precisa en el art. 11.2.d) LOPDP para acceder a cualquier tipo de información
personal, con independencia de su contenido 244
La equiparación que realiza este apartado entre los Juzgados y Tribunales y el Ministerio
Fiscal, a los efectos de autorizarles el acceso a cualquier tipo de información, hace que nos
remitamos a lo ya dicho sobre tal fuente de prueba, en cuanto se refiere a la normativa de
primer nivel.
En la normativa de «tercer nivel», esto es, la atinente al sujeto o al procedimiento en que
se quiere hacer valer la información 245, también nos proporciona fundamento legal para
admitir facultades de acceso informacional al Ministerio Fiscal.
Así, en el propio EOMF hallamos una referencia a las facultades de investigación del
Fiscal en el art. 4.1, relativo a la información judicial 246, aunque con fines limitados a la
verificación del cumplimiento de la legalidad procesal. El art. 5, base de las investigaciones
del Fiscal, previene en su apartado 2º que «Igualmente, y para el esclarecimiento de los
hechos denunciados o que aparezcan en los atestados de los que conozca, puede llevar a cabo
u ordenar aquellas diligencias para las que este legitimado según la Ley de Enjuiciamiento
Criminal, las cuales no podrán suponer, adopción de medidas cautelares o limitativas de
derechos. No obstante, podrá ordenar el Fiscal la detención preventiva”.Mucho más claro, y
más acorde con la perspectiva informacional, el art. 18 bis introducido tras la reforma operada
en el EOMF por la Ley 5/1988 de 24 de marzo, por la que se creaba la Fiscalía Antidroga,
precisa como una función de ésta la de «Investigar la situación económica y patrimonial, así
como las operaciones financieras y mercantiles de toda clase de personas respecto de las que
existan indicios de que realizan o participan en actos de tráfico ilegal de drogas o de que
pertenecen o auxilian a organizaciones que se dedican a dicho tráfico, pudiendo requerir de
las Administraciones Públicas, entidades, sociedades y particulares las informaciones que
estime precisas».
Por su parte la LECr., en el art. 785 bis regulador de las diligencias preprocesales del
Fiscal, hace igualmente alusión a ciertas facultades de investigación en orden a la
averiguación de los hechos aparentemente delictivos de los que conozca. No obstante
tampoco se pronuncia sobre qué diligencias en concreto puede practicar a tales fines, razón
por la que habrá que estar a la regla general que a continuación comentaremos.
Dentro de la Ley de Enjuiciamiento Criminal los arts. 781.1 y 793.2 permiten la
posibilidad de aportar los documentos proobatorios de que pueda disponer el Fiscal. Los datos
personales obrantes en un fichero automatizado, con independencia de si por ellos mismos
constituyen prueba documental o no 247, son incorporados a un informe que emite el
244
El art. 11.2 se halla incluido en el Título II de la LOPDP, que regula el régimen general de tratamiento de
datos personales. Junto a él es también regulado el tratamiento de datos sensibles (art. 7), sin que se establezca
ninguna limitación a la aplicación de la excepción del consentimiento del interesado a la cesión de los mismos,
por el hecho de tratarse de datos que afectan a la intimidad o a la libertad ideológica y de creencias.
245
La normativa de segundo nivel informacional se referiría al tipo de información concreta a manejar: médica,
de telecomunicaciones, económica, etc.
246
El art. 4.1 establece como facultad del Fiscal la de «Interesar la notificación de cualquier resolución judicial y
la información sobre el estado de los procedimientos, pudiendo pedir que se le dé vista de los mismos cualquiera
que sea su estado, para velar por el exacto cumplimiento de las leyes, plazos y términos promoviendo, en su
caso, las correcciones oportunas. Asimismo, podrá pedir información de los hechos que hubieran dado lugar a un
procedimiento, de cualquier clase que sea, cuando existan motivos racionales para estimar que su conocimiento
pueda ser competencia de un órgano distinto del que esta actuando»
247
Así podría desprenderse de la protección penal indirecta establecida en el art. 26 CP, que amplía el
concepto de documento a cualquier soporte que contenga datos con relevancia jurídica; nada se dice de la
Fiscalia.Org Pág. 95
La intervención de las comunicaciones electrónicas
responsable del fichero a requerimiento del Fiscal; informe que, como prueba documental, es
aportable por éste bien en el curso de la instrucción bien en la audiencia previa prevista en el
art. 793.2 LECr.
Pueden, no obstante, citarse determinados límites a las facultades de acceso a la
información requerida en una causa penal. El art. 5 EOMF antes aludido se refiere a aquéllas
para las que esté legitimado según la LECr.. La ley procesal no establece qué diligencias
puede practicar el Fiscal, si bien éstas se obtienen por vía negativa, esto es, mediante el
examen de las expresamente reservadas por la ley al Juez 248. Ha de recordarse al respecto que
la LECr no reserva la petición de pruebas documentales al Juez, sino que, al contrario,
permite al Fiscal y al resto de las partes la aportación de pruebas documentales que obren en
su poder hasta el momento mismo del inicio de la vista oral.
Otro límite, especialmente destacado por la Fiscalía General del Estado 249, es el apuntado
por el art. 5.2 EOMF. El Fiscal, en su investigación, no puede acordar diligencias que
supongan adoptar medidas cautelares o limitativas de derechos, lo que supone tanto que no se
puedan adoptar medidas directamente encaminadas al aseguramiento de las responsabilidades
personales o reales derivadas del hecho 250 como aquellas diligencias cuya realización exijan
la restricción directa de algún derecho fundamental -como las entradas y registros en
domicilio, las intervenciones su observaciones de comunicaciones, así como determinadas
medidas de investigación corporal que afecten al derecho a la intimidad STC 7/1994)-.
Pero, ¿puede sostenerse que la solicitud de información personal sobre un individuo
supone la adopción de una medida limitativa de su derecho fundamental a la
autodeterminación informativa?
La libertad informática supone, como estableció la STC 254/1993, un haz de facultades,
un derecho instrumental en garantía de otros derechos fundamentales 251. Pero no debe
olvidarse que el tratamiento automatizado de datos no es contemplado legalmente, en el seno
de la sociedad de la información, como una actividad prohibida por ser limitativa de derechos.
Fue precisamente el reconocimiento de su necesidad en la sociedad para el desarrollo
naturaleza de éstos, sino del soporte en el que constan. La doctrina aboga por la equiparación de tratamiento
documental de los datos informatizados a los datos impresos (v.g. SIEBER, U: Legal aspects of Computer-
Related Crime in the Information Society -COMCRIME Study, pág. 104.
248
Véase Circular de la FGE 1/1989, de 8 de marzo de 1.989, B.I.M.J. suplemento al nº 1522, págs. 1360-
1361
249
Circular 1/1989, de 8 de marzo. Consulta 1/1999, de 22 de enero.
250
Es decir, las de naturaleza personal -prisión, pues la detención sí le es dable acordarla por virtud del último
inciso del art. 5.2 EOMF-, y real (fianzas y embargos) para la garantía de las responsabilidades pecuniarias
derivadas del delito. Por medidas limitativas de derechos podemos entender aquéllas que afectan a derechos
personales distintos de los de libertad personal y propiedad, tales como la privación temporal del permiso de
conducir (art. 785.8.c).2 LECr.), o las prohibiciones de acercamiento o de comunicación con las víctimas de
determinados delitos, incluso por vía telemática, según el art. 48 CP, según la dicción establecida por la Ley
Orgánica 14/1999, de 30 de abril , de modificación del Código Penal. No han de considerarse como tales
medidas las de secuestro de objetos y efectos del delito para las que no sea necesario la entrada en domicilio de
persona física o jurídica -dado que puede practicarla la Policía Judicial según se establece en el art. 786.2.a)
LECr- así como la intervención de vehículos y permisos de circulación, en los supuestos previstos en el art.
785.8.c) LECr.
251
En su F.J. 6º declara el Tribunal Constitucional que «estamos ante un instituto de garantía de otros derechos,
fundamentalmente el honor y la intimidad , pero también de un instituto que es, en sí mismo, un derecho o
libertad fundamental, el derecho a la libertad frente a los potenciales agresiones a la dignidad y a la libertad de la
persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama "la
informática".»
Fiscalia.Org Pág. 96
La intervención de las comunicaciones electrónicas
252
Convenio 108: «Considerando que es deseable ampliar la protección de los derechos y de las libertades
fundamentales de cada uno, concretamente el derecho al respeto de la vida privada, teniendo en cuenta la
intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de
tratamientos automatizados. Reafirmando al mismo tiempo su compromiso en favor de la libertad de
información sin tener en cuenta las fronteras. Reconociendo la necesidad de conciliar los valores fundamentales
del respeto a la vida privada y de la libre circulación de la información entre los pueblos...».
253
Como declara la Ley Alemana Federal de Protección de Datos de 20 de diciembre de 1.990 (§4.1); o la propia
Directiva 95/46/CE (art. 5: «Los Estados miembros precisarán, dentro de los límites de las disposiciones del
presente capítulo, las condiciones en que son lícitos los tratamientos de datos personales».). Sobre esta última,
véase HEREDERO HIGUERA, Manuel, op. cit. Págs.108-ss.
254
Ese derecho a la autodeterminación está constituido tanto por los principios previstos en los arts. 4 a 11
LOPDP (principios de calidad de los datos), como a los derechos reconocidos en los arts. 12 a 17, más el derecho
de oposición por causa legítima a los tratamientos, incorporado en la LOPDP por aplicación del art. 14 Directiva
95/46/CE.
Fiscalia.Org Pág. 97
La intervención de las comunicaciones electrónicas
22.3 LOPDP, cuando se circunscribe su uso a los fines de una investigación concreta. No
existe, ni siquiera para la Policía Judicial, una prohibición de tratamiento, o una exigencia de
autorización judicial para ello, sino una condición de legitimidad verificable, cual es la de la
existencia de una investigación penal o policial concreta. Sería paradójico admitir, en el curso
de una investigación penal, que el Fiscal tuviera que acudir -en el ejercicio de sus funciones
de dirección de la Policía Judicial 255 a las facultades de sus subordinados para acceder a la
información requerida para el ejercicio de sus funciones.
No obstante, las consideraderaciones de la Consulta 1/1999 sólo serán válidos para los
datos de tráfico asociado a las comunicaciones electrónicas, por su propia consideración como
contenido de las mismas. Aunque la Consulta prevé la protección de los números de abonado
a los que se han efectuado llamadas, lo cierto es que la consideración de éstos como datos de
facturación susceptibles de cesión en igualdad de régimen que los datos ordinarios, y no como
los sensibles –como ya ha quedado expuesto– abonan la tesis de que puedan ser tratados y
comunicados por el Ministerio Fiscal en el curso de investigaciones preprocesales.
4.4.c) Acceso policial a los datos de facturación y suscripción
El trato igual que merecen tanto la información en soporte papel como la digital,
propugnado por la Recomendación R (95) 13, lleva a pensar que debe admitirse tal
posibilidad, sin perjuicio de que las disposiciones de creación de los ficheros público, o los
preceptos de la LOPDP nada digan expresamente.
Fruto de los problemas que las Unidades de Policía Judicial padecen en su labor de
captación de datos en el curso de investigaciones policiales por hechos delictivos, lo
constituye el Informe de la Agencia de Protección de Datos de 26 de septiembre de 1.997,
emitido a instancia de la Comisión Nacional de Policía Judicial. La Agencia empleó un
silogismo lógico para admitir tal práctica: si las Fuerzas y Cuerpos de Seguridad están
legitimadas para desarrollar tratamientos automatizados de datos, y si entre éstos cabe incluir
las comunicaciones, cesiones o consultas de datos, siempre que actúen en el ejercicio de sus
funciones para una investigación concreta podrán acceder a bases de datos de titularidad
pública o privada. De otro modo, las investigación policial en un mundo que realiza la
mayoría de sus operaciones sociales, económicas y de todo tipo a través de ordenadores, no
podría desempeñar las funciones legítimas de averiguación y esclarecimiento de hechos
dlictivos.
Todavía es posible encontrar un argumento más en la DPD. Al hablar de las condiciones
en que considera un tratamiento legítimo (y recordamos una vez más que por tal se entienden
las consultas o accesos a datos, sean llevados a cabo o no por medios automatizados), el art.
7.e) los considera cuando «es necesario para el cumplimiento de una misión de interés público
o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un
tercero a quien se comuniquen los datos». La Directiva afronta la legitimidad de la operación
de cesión desde la perspectiva tanto del cedente (el responsable del tratamiento de los datos de
que se traten) o del cesionario (la persona o entidad a la que se le comunican), asociando tal
legitimidad a la concurrencia en uno o en otro del cumplimiento de misiones de interés
público o inherentes al ejercicio del poder público, lo que evidentemente sucede con las
Unidades de Policía Judicial.
Por último, debe tratarse el tema del acceso a los datos derivados de las
telecomunicaciones. Parte de los problemas que se presentan a la Policía Judicial radica en la
imposibilidad de ésta de acceder a los datos de identificación de los abonados que han
255
Arts. 4.4 EOMF y 20.1 RD 769/1987, regulador de la Policía Judicial.
Fiscalia.Org Pág. 98
La intervención de las comunicaciones electrónicas
256
«El registro de llamadas efectuadas desde un determinado número de teléfono forma parte del conjunto de
datos que las correspondientes compañías telefónicas obtienen y conservan para poder determinar el precio que
periódicamente deben abonarles el titular de aquél, al cual se le facilitan, bien espontáneamente, bien previa
solicitud, para su conocimiento y posibles reclamaciones; en forma semejante a comohacen las entidades
bancarias con los titulares de las cuentas corrientes, al remitirles periódicamente información sobre el
movimiento de las mismas. Se trata, en definitiva, de datos de carácter personal, custodiados en ficheros
automatizados, a que se refiere la LORTAD...» (STS 459/1999, F.J. 2ª)
257
La sentencia puede consultarse en http://www.bufetalmeida.com/hispahack.html
Fiscalia.Org Pág. 99
La intervención de las comunicaciones electrónicas
258
SIEBER, U, op.cit., pág. 117.
259
En España pueden imponerse condiciones similares sobre la base de lo previsto en la LGT. Así su art. 11
establece
Condiciones que pueden imponerse a las autorizaciones generales
1. Las autorizaciones generales se otorgan de forma reglada y automática, previa asunción por el interesado
de las condiciones que se establezcan mediante Orden del Ministro de Fomento para cada categoría de redes y
servicios y previa comprobación del cumplimiento por aquél de los requisitos que se determinen en la misma.
Las condiciones indicadas en la citada Orden, que se publicará en el "Boletín Oficial del Estado", deberán
garantizar los siguientes objetivos:
8º La protección de los intereses de la defensa nacional y de la seguridad pública.»
Art. 42:Otras obligaciones de servicio público
«1. El Gobierno podrá, por necesidades de la defensa nacional y de la seguridad pública, imponer, mediante
Real Decreto, otras obligaciones de servicio público distintas de las de servicio universal y de los servicios
obligatorios, a los titulares de licencias individuales o de autorizaciones generales a los que se refiere el art.
35.1.»
260
«Telefónica y Airtel deniegan a la policía la identidad de los titulares de teléfonos móviles», Diario El País, 7
de noviembre de 1999
de esta medida, aunque sea más beneficiosa para el imputado que la de intervención total de
sus comunicaciones.
Los deberes también aluden a la obligación de entrega de los mecanismos hardware o
software puestos a disposición del usuario por el proveedor de servicio para cifrar o
asegurar el contenido de las comunicaciones 261. La previsión genérica en nuestro
ordenamiento está expuesta en el art. 52.3 LGT. 262
5.2.c) Deberes posteriores a la ejecución de la intervención
A medio camino entre el momento anterior y éste debe hablarse del deber de
confidencialidad de las medidas adoptadas de intervención, tanto sobre el hecho de su
ejecución sobre cualquier otra información acerca de las mismas 263.
A estas medidas también se refiere el BCCyb, si bien no implica imponer nuevas
medidas, bastando la previsión penal de imposición de sanciones a los comportamientos
obstativos u obstructivos a la acción de la Justicia, lo que no sucede en nuestro ordenamiento,
sin que pueda bastar el residual delito de desobediencia, dado que no existe ninguna
obligación específica de confidencialidad de quienes participan como colaboradores en las
diligencias de investigación.
5.3 Deberes relacionados con los contenidos, La Directiva sobre aspectos
jurídicos de los servicios de la sociedad de la información 2000/31/CE
En los primeros estadíos de desarrollo de la red un proveedor de servicios Internet
alemán, Compuserve-Alemania, fue condenado por el alojamiento de unas páginas web de la
organización XS4ALL con contenidos considerados delictivos. Esta condena provocó la señal
de alarma en el sector, que vio peligrar su actividad comercial por la imposición de
responsabilidades penales por contenidos que transmitían, pero que no podrían controlar
debido a su volumen diario.
Las legislaciones europeas sobre telecomunicaciones fueron las primeras en incluir
medidas limitadoras de dicha responsabilidad, vinculándola al conocimiento del prestador de
servicios de la existencia del contenido ilícito y a su capacidad técnica real para impedirlos o
bloquearlos. Así, la Ley General de Telecomunicaciones Alemana de 1 de julio de 1996, en su
art. 5, determinó los principios que posteriormente han sido asumidos como la política de
responsabilidad en este sector. Señala dicho precepto, como norma general, que los
proveedores serán responsables de acuerdo con las leyes generales únicamente por sus
propios contenidos, que ellos mismos hagan disponibles para el uso. Con respecto a los
contenidos de terceros que hagan disponibles para el uso no serán responsables a menos que
tengan conocimiento de los mismos y sean técnicamente capaces y puedan razonablemente
bloquearlos para su uso. La mera puesta en disposición para el uso no generará
responsabilidad, debiendo entenderse incluida en tal previsión el almacenamiento temporal
automático de contenidos de terceros a petición de un usuario 264. La ley sueca 1998:112
261
Lo que puede referirse tanto a las claves de firma como a las claves de cifrado, al menos en el caso de la
FNMT.
262
En el Código procesal holandés se prevé específicamente el deber de colaborar de igual forma en el art. 125k.
En términos similares, RIPA en Reino Unido.
263
Por ejemplo, los datos técnicos de los mecanismos y procedimientos policiales empleados para su realización.
264
Alude esta posibilidad al almacenamiento temporal ocasionado por el empleo de un «servidor proxy», un
ordenador en el que se alojan las páginas más visitadas por los usuarios de ese proveedor, de modo que antes de
que una nueva petición sea lanzada a la red pueda ser contestada más rápidamente remitiéndola al mismo, puesto
que ya fue servida a otro usuario previamente. El proveedor no decide qué contenidos se almacenan allí, sino que
de forma automática y rutinaria se almacenan las páginas servidas a los usuarios. Es una especie de filtro previo
sobre responsabilidad por Boletines Electrónicos, de mayo de 1998 (BBS) sigue las mismas
pautas.
Esta responsabilidad ha sido últimamente asumida por la legislación sobre servicios de la
sociedad de la información. La Directiva 2000/31/CE, de 8 de junio, relativa a los aspectos
jurídicos de los servicios de la sociedad de la información y el comercio electrónico ha
determinado las líneas básicas de colaboración entre prestadores de servicios y autoridades
públicas en los campos anteriormente citados de la identificación de los autores de hechos
ilícitos y de la represión de contenidos considerados delictivos.
Podemos resumir los mecanismos previstos en la Directiva de Comercio Electrónico de la
siguiente manera:
Se pueden aplicar medidas restrictivas a la libertad de expresión respecto a un
determinado servicio de la sociedad de la información necesarias para la adopción de
una medida por motivos de seguridad, orden público, prevención, investigación y
descubrimiento de delitos , lucha contra la instigación del odio, protección de menores
y de la dignidad humana; que, además sean proporcionadas a dichos objetivos.265
Puede comprobarse que la medida se establece caso por caso respecto de aquellos
servicios de la sociedad de la información que incumplan los objetivos protegidos. Los
criterios de aplicación son más amplios que los establecidos por el CEDH para la
limitación de derechos fundamentales.
Es cuestionable la competencia de la Comunidad Europea para regular en una
Directiva medidas cautelares aplicables en los procesos penales, al no ser ésta una materia
comunitaria por afectar al Título VI del Tratado (Justicia y asuntos de interior). Podría
hablarse aquí de una extralimitación de la regulación comunitaria, la que se manifiesta aún
más en la obligación de identificar a los autores de un hecho delictivo entregando datos de
identificación (que no serán sino datos de navegación de las páginas alojadas, lo que
constituyen parte del contenido de la comunicación en Internet, amparada en el secreto de
comunicaciones) a las autoridades públicas.
Las medidas son aplicables aunque afecten a proveedores instalados en otros países,
previa notificación al Estado miembro y a la Comisión.
No obstante, el Considerando 26 manifiesta que en estos casos no será precisa la
comunicación a la Comisión, aunque sí al Estado afectado.
La exoneración de responsabilidad de los proveedores de servicios se supedita a que
éstos no hayan originado el contenido, que no seleccionen a los destinatarios y que no
seleccionen ni modifiquen los contenidos 266
La exoneración de responsabilidad por almacenamiento temporal y automatizado de
contenidos de terceros (memoria tampón) se supeditará a que éste no afecte a la
información almacenada, la modifique (ni los programas o dispositivos destinados a
recabar información de los usuarios)267; y que actúe con prontitud para retirar la
información que haya almacenado o hacer imposible su acceso en cuanto tenga
a la salida a la red diseñado para facilitar las consultas de contenidos habitualmente visitados por los mismos
usuarios.
265
Art. 2 Directiva 2000/31/CE
266
Art. 12 Directiva 2000/31/CE
267
Se refiere con ello la Directiva a las aplicaciones E.T., a las cookies y otras modalidades de tratamiento
invisible establecidas o instaladas en los contenidos (páginas webs) por los responsables de éstos.
268
Esta norma plantea un serio problema en relación a contenidos inicialmente alojados en países en los que se
producen violaciones de derechos humanos por las autoridades públicas, que pueden obligar a retirar la
información de organizaciones que trabajan en pos de aquéllos en denuncia de tales agresiones. Debería exigirse
que la resolución proviniera de un país que haya suscrito el CEDH y que dicha resolución fuera firme.
269
Art. 14 Directiva 2000/31/CE
270
Art. 15 Directiva 2000/31/CE
271
No cabrá incluir en este concepto sino aquellos que vulneren la legislación civil o penal, pero no por ejemplo
contenidos sexuales que no afecten a menores, puesto que éstos sólo podrán recibir la consideración de
«nocivos», de acuerdo con los documentos de trabajo de la Comunidad Europea (Libro Verde sobre la
protección frente a los contenidos ilícitos, nocivos y peligrosos en Internet)
El art. 2.d) ALSSICE define al destinatario como la «persona física o jurídica que
utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la
información.», a diferencia de cómo lo efectúa la Directiva, que considera por tal a
«cualquier persona física o jurídica que utilice un servicio de la sociedad de la
información por motivos profesionales o de otro tipo, y especialmente, para buscar
información o para hacerla accesible»
Esta alusión a la puesta a disposición de terceros contenidos o servicios será capital
para determinar las responsabilidades de investigación, y que al no ser recogida por la
transposición interna suponen una ampliación excesiva de las obligaciones de
identificación de los proveedores de servicios con relación a los destinatarios de sus
servicios.
Las obligaciones impuestas a los proveedores de servicios se refieren a los que se
hallen instalados en España, aun con establecimiento permanente. La instalación
referida en el art. 4 apunta hacia la dirección efectiva de sus actividades desde el
establecimiento, sin que sea suficiente la instalación de medios técnicos en nuestro
territorio para quedar sujeto a la norma.
No obstante, los contenidos que pueden ser bloqueados sí pueden hallarse en países
de la Comunidad o de fuera de la Comunidad, como se desprende del art. 6, así como de
la declaración de ámbito de aplicación del art. 5.
Las obligaciones impuestas a los proveedores de servicios son determinadas por el art.
12:
«1. Todos los prestadores de los servicios de la sociedad de la información establecidos
en España deberán cumplir las siguientes obligaciones:
a) Comunicar a las autoridades judiciales o administrativas competentes, tan pronto como
tengan conocimiento de su existencia, la actividad presuntamente ilícita, realizada por el
destinatario del servicio.
b) Comunicar a las autoridades judiciales o administrativas competentes, a solicitud de
éstas, la información que les permita identificar a los destinatarios de servicios.
c) Suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de
cualquier otro servicio de la sociedad de la información, para poner fin a una infracción o
impedirla, cuando así les sea solicitado por una autoridad judicial o administrativa
competente.
d) Supervisar o conservar todos los datos relativos a un determinado sitio de Internet
durante un período máximo de seis meses y ponerlos a disposición de la autoridad
judicial competente, cuando ésta así lo requiera.
La supervisión o la conservación de datos podrá hacerse en la forma que, siendo eficaz
para el objeto que se persiga, resulte menos gravosa para el prestador de servicios.
2. Cuando el cumplimiento de estas obligaciones pueda afectar a los derechos a la
intimidad personal y familiar o a la libertad de expresión, se respetarán las normas y
procedimientos establecidos para su protección.»
Resaltan de este precepto las obligaciones contenidas en los apartados 1.b) y d). En virtud
del primero, el proveedor de servicio estará obligado a identificar a los destinatarios de
servicios cuando se lo requiera una autoridad judicial o administrativa. El precepto de la
Directiva que transpone es el art. 15.2.inciso final; pero la norma comunitaria establece una
limitación importante que elude el legislador nacional, que es que el destinatario al que puede
identificar el proveedor es aquellos «con los que hayan celebrado acuerdos de
almacenamiento». Es decir, no podrá identificar a quienes accedan a dicha información, sino a
quienes pongan a disposición de los usuarios la información almacenada. A esta ampliación
del número de sujetos identificables ayuda la definición de destinatario a la que nos hemos
referido, que no recoge tampoco el tenor comunitario. Con esta medida se convierte al
proveedor en un delegado de la autoridad pública en la supervisión de contenidos, y se le hace
partícipe de la ejecución de medidas cautelares que pueden aplicarse en procesos penales 272.
Por otra parte, el párrafo 1.d) desarrolla la posibilidad prevista en la Directiva 273 de poder
imponer medidas de comunicación de datos ilícitos o de actividades ilícitas de los
destinatarios de sus servicios. En este caso, se trata de la posibilidad de almacenar datos de
navegación (datos relativos a un determinado sitio Internet), que supondrá la realización de
una verdadera intervención de comunicaciones electrónicas no sólo del destinatario que
mantiene la página, sino de todos aquellos que acceden a ella, cuyos datos de identificación
quedarán registrados sin tener ni la condición de sospechoso o la de imputado. La medida,
además, puede durar hasta seis meses, superando los tres meses previstos en el art. 579.3
LECr.. Esta medida responde a la preservación anticipada de datos prevista en los arts. 16 y
17 del BCCyb., pero adoptado por una norma con insuficiencia de rango normativo parea
afectar el ejercicio de derechos fundamentales.
Por las consideraciones anteriores, nuestro juicio sobre estos aspectos del ALSSICE es
muy negativo, pues incide en la regulación de medidas cautelares aplicables a procesos
penales que pueden restringir el derecho al secreto de comunicaciones, careciendo del rango
normativo exigido por el art. 81.1 CE para poder implantarlas en el ordenamiento jurídico.
6.1. Antecedentes
La medida de la intervención de las comunicaciones electrónicas ha pasado a ocupar un
puesto destacado en las secciones de noticias de sociedad de los medios de comunicación
desde que en enero de 1.998 se publicaran las primeras noticias sobre la red ECHELON, una
inmensa y antigua red de espionaje electrónico montada por los Estados Unidos y los países
de la Commonwealth.
El periodistas Nick Hagens publicó en los setenta un libro titulado «Global Power»
(Poder Global) en el que describía la red ECHELON mantenida por la Agencia Nacional de
Seguridad estadounidense (NSA). Desde entonces, sólo gracias a los esfuerzos de algunos
periodistas –como el caso de Duncal Campbell– ha podido saberse algo de este vasto
complejo de espionaje civil que, hoy día, ha alcanzado reconocimiento legal en informes del
Parlamento Europeo.
272
El art. 42 ALSSICE establece:
Medidas cautelares en el ámbito de los procesos judiciales.
«Sin perjuicio de lo dispuesto en el artículo 9, los órganos jurisdiccionales podrán adoptar las medidas
cautelares que estimen necesarias para evitar la comisión o continuación de una presunta infracción y proteger
los derechos o intereses afectados, de conformidad con las Leyes de Enjuiciamiento Civil y Criminal y las demás
normas procesales.
Dichas medidas podrán consistir, entre otras, en ordenar la retirada del contenido presuntamente ilícito o que
se imposibilite el acceso al mismo.»
273
Art. 15.2 Directiva 2000/31/CE
274
«Una aproximación a las Tecnologías de Control Político».
275
Preguntas escritas E-1039/98, E-1040/98, E-1306/98, E-1429/98, E-1776/98, E-1987/98, E-03337/99, p-
0665/00, E-2436/00 y E-2469/00. Y preguntas orales H-1067/98 Y H- 0092/99.
276
Decisión B5-0593/2000, DOCE C 121, 24 abril 2001.
277
http://cryptome.org/ECHELON-ep.htm También en http://fas.org/irp/program/process/europarl.draft.pdf
278
Decisión B5-0593/2000
279
Aparte de los informes STOA, de ineludible lectura para entender este interesante problema, debe también
citarse el preciso resumen de POOLE, Patrick S., ECHELON: American Secret Global Surveillance Network,
disponible en http://www.freecongress.org/ctp/ECHELON.htm
280
Como sucedió ante la Ronda Uruguay
comunicación 281; por la falta de capacidad tecnológica actual para realizar reconocimientos
de voz fidedignos en un entorno multilingüe, y por la ausencia de personal analista en la
cantidad suficiente para tratar toda la información que es posible recoger.
Pero aparte de ECHELON cabe hablar de numerosos intentos de Comint en la actualidad,
El informe parlamentario alude a que tanto Francia como Rusia son los dos países con
capacidad tecnológica y geográfica suficiente para afrontar por sí mismos una empresa de esta
naturaleza 282. Tampoco pueden olvidarse intentos orientados a
281
Especialmente a los cables submarinos de fibra óptica, que tampoco parecen accesibles tecnológicamente en
la actualidad. No obstante, la duda sobre esta capacidad se mantiene: «Spy agency taps into undersea cable», en
Zdnet.News, 23 de mayo de 2001, http://www.zdnet.com
282
De Francia se habla de FRENCHELON, y de Rusia de SORM o de FAPSI. En Estados Unidos la CIA
también intenta aplicar mecanismos de data-mining (o minería de datos) para fines de inteligencia exterior,
basadas en las tecnologías ECHELON: «CIA patching ECHELON shortcomings», en The Register , 7 marzo
2001 http://www.theregister.co.uk/content/8/17361.html . E incluso en España se plantea la creación de un
centro único de inteligencia y de participar en programas de sigint y comint como Helios o el proyecto Santiago.
«Defensa planea crear una agencia militar de espionaje para apoyar al ejército», en El País, 20 de marzo 2000.
No puede concluirse sino citando nuevamente el parágrafo 65 del caso Laender que
reflejábamos en la nota a pie de página nº 77: es preciso asegurar «la existencia de garantías
adecuadas y suficientes contra los abusos, pues un sistema de vigilancia secreta destinado a
proteger la seguridad nacional crea un riesgo de socavar, incluso destruir, la democracia por
tratar de protegerla». Ya dijimos entonces que la cita era muy actual. Ahora se explica porqué.