Intervenciones Telefonicas

LA INTERVENCIÓN
DE LAS
COMUNICACIONES
ELECTRÓNICAS
Francisco J. Hernández Guerrero

Fiscal del Tribunal Superior de Justicia
de Andalucía (Granada)
La intervención de las comunicaciones electrónicas
ABREVIATURAS EMPLEADAS
ALSSICE Anteproyecto de Ley de Servicios de la Sociedad de la Información y del
Comercio Electrónico. Versión 18.01.2001
APD Agencia de Protección de Datos
BCCyb Borrador de Convenio sobre el Cibercrimen
CE Constitución Española
CEDH Convenio Europeo de Derechos Humanos 4 nov. 1.950
CGPJ Consejo General del Poder Judicial
CIA Central Intelligence Agency
CP Código Penal
DPD Directiva 95/46/CE, de 24 de octubre, de Protección de las personas físicas
frente al tratamiento de datos personales y a la libre circulación de los mismos
DOCE Diario Oficial de la Comunidad Europea
DT Directiva 97/66/CE, de 15 de diciembre, de tratamiento de datos personales
FBI Federal Bureau of Investigation
FGE Fiscalía General del Estado
FNMT Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda
IP Internet Protocol (Protocolo Internet)
LAN Local Area Network; Red de Área Local
LEC Ley de Enjuiciamiento Civil
LECr Ley de Enjuiciamiento Criminal
LGT Ley 11/1998, 24 de abril, General de Telecomunicaciones
LOPDP Ley Orgánica 15/1999, 13 diciembre, de Protección de Datos de Carácter
Personal
LOPJ Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial
LORTAD Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento
automatizado de datos de carácter personal
ME Memoria Explicativa (del Borrador de Convenio sobre el Cibercrimen)
NSA Agencia Nacional de Seguridad
OCDE Organización para la Cooperación y el Desarrollo Económico
RD Real Decreto
RDLFE Real Decreto Ley 14/1999, 7 septiembre, sobre firma electrónica
RDLey Real Decreto Ley
RDSI Red Digital de Servicios Integrados
STC Sentencia del Tribunal Constitucional
TC Tribunal Constitucional
TCE Tratado de la Comunidad Europea
TEDH Tribunal Europeo de Derechos Humanos
WAN Wide Area Network; Red de Área Dispersa
Fiscalia.Org Pág. 2
ÍNDICE DE CONTENIDOS
ABREVIATURAS EMPLEADAS 2
ÍNDICE DE CONTENIDOS 3
PARTE I: RÉGIMEN LEGAL DE PROTECCIÓN DEL DERECHO AL SECRETO DE LAS
COMUNICACIONES Y A LA PROTECCIÓN DE DATOS PERSONALES 6
1. INTRODUCCIÓN ............................................................................................................. 6
1.1. Globalización de las comunicaciones; personalización de los mensajes. Reflexiones
acerca del nuevo panorama de las comunicaciones ........................................................... 6
1.2. Convergencia de las señales de comunicación............................................................ 7
1.3. Competitividad y libre circulación.............................................................................. 7
1.4. El fenómeno Internet .................................................................................................. 8
1.5. Implicaciones legales. La reglamentación de un sector en continua evolución........ 10
1.6. La intimidad y la protección de datos ....................................................................... 10
2. EL MARCO REGULADOR............................................................................................ 11
2.1. Consejo de Europa .................................................................................................... 12
2.1.a) Convenios........................................................................................................... 12
2.1.b) Recomendaciones .............................................................................................. 13
2.2. Legislación comunitaria ............................................................................................ 14
2.2.a) Sobre comunicaciones electrónicas.................................................................... 14
2.2.b) Sobre protección de datos personales ................................................................ 16
5.2.c) Sobre comercio electrónico................................................................................ 17
2.3. Legislación nacional.................................................................................................. 18
2.3.a) Sobre comunicaciones electrónicas.................................................................... 18
2.3.b) Sobre protección de datos personales ................................................................ 20
3. LOS SUJETOS IMPLICADOS EN LAS COMUNICACIONES ELECTRÓNICAS .... 20
3.1. Usuarios y abonados.................................................................................................. 21
3.2. Los proveedores de servicios .................................................................................... 22
3.2.a) Los proveedores de servicios de comunicaciones electrónicas.......................... 24
3.2.b) Los proveedores de servicios de encaminamiento de señales ........................... 24
3.2.c) Los proveedores de acceso a Internet................................................................. 24
3.2.d) Los proveedores de servicios Internet................................................................ 25
3.3. Las empresas de servicios de valor añadido.............................................................. 25
3.4. Las autoridades públicas ........................................................................................... 26
4. LOS OBJETOS DE PROTECCIÓN................................................................................ 28
4.1. De las telecomunicaciones a las comunicaciones electrónicas ................................. 28
4.2. El contenido de las comunicaciones.......................................................................... 29
4.3. Los datos personales asociados a las comunicaciones electrónicas.......................... 29
4.3.a) Los datos de tráfico ............................................................................................ 29
4.3.b) Los datos de facturación .................................................................................... 32
4.3.c) Los datos de suscripción .................................................................................... 34
4.3.d) Los datos relativos a firmas electrónicas ........................................................... 35
5. LOS INSTRUMENTOS LEGALES DE PROTECCIÓN ............................................... 36
5.1.El derecho fundamental al secreto de las comunicaciones ........................................ 37
5.1.a) Las garantías genéricas de protección de la confidencialidad ........................... 37
5.1.b) El control judicial de la intervención de las comunicaciones ............................ 39
5.1.b.1. Control en la adopción de la medida........................................................... 39
5.1.b.2. Control en la ejecución de la medida .......................................................... 41
5.1.b.3. Control en la incorporación del material recogido al proceso .................... 41
5.1.c) Su recepción en la legislación sectorial de comunicaciones electrónicas.......... 41
5.2. El derecho fundamental a la protección de datos personales .................................... 44

5.2.a) Contenido. Principios del tratamiento. Facultades............................................. 45
5.2.a.1. Contenido .................................................................................................... 45
5.2.a.2. Principios del tratamiento............................................................................ 46
5.2.a.3. Derechos ...................................................................................................... 50
5.2.b) Especialidades en materia de comunicaciones electrónicas .............................. 51
5.2.b.1. Tratamientos previos a la comunicación. Los datos de abonado. Las guías
de servicios de comunicaciones electrónicas ........................................................... 51
5.2.b.2. Tratamientos simultáneos. Datos de tráfico y datos de navegación............ 54
5.2.b.3. Tratamientos posteriores. Datos de facturación y facturas desglosadas ..... 56
5.2.c) Las restricciones al derecho de protección de datos personales ........................ 58
5.2.c.1. El ámbito de aplicación de las normas estudiadas....................................... 58
5.2.c.2. El régimen legal aplicable a los tratamientos de datos derivados de las
intervenciones de comunicaciones electrónicas....................................................... 59
PARTE II: LA INTERVENCIÓN LEGAL DE LAS COMUNICACIONES ELECTRÓNICAS 60
1. PLANTEAMIENTO GENERAL .................................................................................... 61
2. REGULACIÓN LEGAL DE LAS INTERVENCIONES DE LA COMUNICACIONES
ELECTRÓNICAS................................................................................................................ 62
2.1. Derecho Comparado ................................................................................................. 62
2.1.a) Estados Unidos................................................................................................... 62
2.1.b) Reino Unido ....................................................................................................... 65
2.1.c) Alemania ............................................................................................................ 66
3. Regulación del Consejo de Europa. Mutua Asistencia Judicial Penal......................... 66
3.1. Los Convenios de asistencia penal........................................................................ 66
3.2. La Recomendación R (95)13................................................................................. 67
3.3. El borrador de Convenio sobre el Cibercrimen (v. 25) ......................................... 68
4. Derecho Comunitario ................................................................................................... 69
4.1. La Resolución de 17 de enero de 1.995 ................................................................ 69
4.2. Recomendaciones del Grupo de Protección de las Personas ................................ 70
4.3. El Convenio de la Unión Europea de asistencia judicial penal de 29 de mayo de
2000 ............................................................................................................................. 71
5. El Derecho Español: La Ley De Enjuiciamiento Criminal .......................................... 72
3. LA INTERVENCIÓN DEL CONTENIDO DE LAS COMUNICACIONES
ELECTRÓNICAS................................................................................................................ 75
3.1. Problemas generales de la intervención de las comunicaciones electrónicas ........... 75
3.2. La intervención de mensajes de correo electrónico .................................................. 76
3.3. Medidas de intervención en el borrador del Convenio sobre el Cibercrimen ........... 77
3.3.c) Interceptación de datos de contenido ................................................................. 78
3.3.d) Confidencialidad y limitaciones de uso ............................................................. 79
3.3.e) Medidas provisionales en relación con peticiones de asistencia mutua............. 80
3.4. La intervención de comunicaciones telefónicas en el Convenio de la Unión Europea
de asistencia judicial penal............................................................................................... 80
4. ACCESO A DATOS PERSONALES ASOCIADOS A LAS COMUNICACIONES .... 83
4.1 Acceso a los datos de tráfico ...................................................................................... 83
3.3.a) Preservación anticipada de datos informáticos almacenados............................. 83
3.3.b) Colección o registro de datos en tiempo real ..................................................... 85
3.3.d) Medidas provisionales en casos de asistencia judicial internacional................. 87
4.2. El acceso a los datos de cifrado de las comunicaciones............................................ 88
4.2.a) Planteamiento..................................................................................................... 88
4.2.b) Políticas criptográficas en Derecho Comparado................................................ 89
4.2.c) La legislación española ...................................................................................... 90

4.3. El acceso a los datos de suscripción.......................................................................... 92
4.4. El acceso a datos de facturación y suscripción por los sujetos públicos de la
investigación penal........................................................................................................... 93
4.4.a) Normas informacionales que legitiman el acceso judicial................................. 93
4.4.b) El acceso del Fiscal a los datos personales ........................................................ 94
4.4.c) Acceso policial a los datos de facturación y suscripción ................................... 98
5. EL PAPEL DE LOS PROVEEDORES DE SERVICIOS ............................................... 99
5.1. Planteamiento general ............................................................................................... 99
5.2. Deberes de los proveedores de servicio .................................................................. 100
5.2.a) Deberes previos a la ejecución de una intervención ........................................ 100
5.2.b) Deberes simultáneos a la intervención............................................................. 101
5.2.c) Deberes posteriores a la ejecución de la intervención ..................................... 102
5.3 Deberes relacionados con los contenidos, La Directiva sobre aspectos jurídicos de los
servicios de la sociedad de la información 2000/31/CE ................................................ 102
6. UN ÚLTIMO APUNTE: LA VIGILANCIA GLOBAL DE LAS COMUNICACIONES
ELECTRÓNICAS. LA COMINT...................................................................................... 106
6.1. Antecedentes ........................................................................................................... 106
6.2. Las redes de vigilancia electrónica global. ECHELON ......................................... 108
6.3. ¿Son legales en Europa los sistemas de vigilancia electrónica global? .................. 109
PARTE I: RÉGIMEN LEGAL DE PROTECCIÓN DEL

DERECHO AL SECRETO DE LAS COMUNICACIONES Y A
LA PROTECCIÓN DE DATOS PERSONALES
1. INTRODUCCIÓN
1.1. Globalización de las comunicaciones; personalización de los mensajes.

Reflexiones acerca del nuevo panorama de las comunicaciones
Esta es una sociedad del consumo, no cabe duda alguna de ello. Hasta momentos recientes
los objetos de consumo estaban constituidos por bienes materiales, tangibles, de los que, por
logro de las revoluciones industriales, podíamos disponer de numerosas unidades, aunque su
número es siempre finito. Con la revolución digital –que permite la conversión de cualquier
contenido en un conjunto de ceros y unos de distinta extensión, permitiendo así el tratamiento
tecnológico uniforme de contenidos heterogéneos como la imagen y el sonido– accedemos a
múltiples servicios de información, recurso caracterizado por su intangibilidad, disponibilidad
e infungibilidad. El hábito de consumo se instala, con ello, en los procesos culturales y en el
ámbito de la información.
Esta disponibilidad creciente de contenidos trae consigo en los hábitos de los
consumidores nuevas exigencias de calidad en los servicios que demanda. Así, aparte de la
disponibilidad del servicio, se exige que éste sea de calidad, que la comunicación se haga con
rapidez 1, a precios asequibles –el fenómeno de las «tarifas planas», de los «bonos» y «planes
de descuento» son una clara contestación a dicha demanda– y, como característica más
importante, con independencia del formato de la señal de origen 2.
La independencia de la señal de origen implica que los actos de comunicación –y los
consiguientes contenidos informacionales– puedan ser accesibles en el formato que elija el
destinatario. Un mensaje de correo electrónico puede ser elaborado en un ordenador, pero
puede ser leído en una pantalla de televisión –si se emplea televisión interactiva– o en un
teléfono móvil –mediante la conversión de la señal mediante programas de síntesis de voz.
Con la telefonía de tercera generación –tecnología UMTS– será posible acceder a señales de
video desde un terminal móvil, y remitir imágenes a otro teléfono o a cualquier otro
dispositivo de comunicaciones –un ordenador, el televisor, etc–.
La información, por esta vía, se abstrae de su señal de soporte.
Esta última característica de la demanda de bienes informacionales se traduce también en
la exigencia de personalización del servicio. Los aparatos y los servicios –que, no lo
olvidemos, se prestan a escala mundial, y por ello sometida a numerosas opciones
lingüísticas– se adaptan al usuario, de modo que éste no tiene que expresar sus preferencias
(idioma de comunicación, contenidos preferidos, formato de presentación, etc) cada vez que
entabla una comunicación, sino que éstas son almacenadas por el prestador de los servicios
1
La respuesta tecnológica a estas exigencias es el ancho de banda, es decir, en la cantidad de datos que pueden
transmitirse a velocidad razonable, imprescindible para la transmisión de las grandes cantidades de datos
digitales en que se convierten los contenidos informativos a los que se accede.
2
La comprensión de estos conceptos pasa, casi de forma ineludible, por la lectura obligada de la célebre obra de
Nicholas Negroponte El mundo digital, publicado en castellano por Ediciones B, Barcelona, 1.995.
para hacerle más cómoda y fácil su empleo. Con ello puede conseguir la fidelización del
usuario, que se siente tratado de acuerdo con sus gustos, tratado de forma no
despersonalizada, como ha acabado tratando a los usuarios la revolución industrial.
1.2. Convergencia de las señales de comunicación

El soporte de este mercado de la información lo constituyen las redes de
telecomunicaciones. Los contenidos de información (audio, video, texto...sobre cualquier
tema) pueden ser accesibles desde cualquier punto del planeta conectado a una red de
telecomunicaciones. El paso adelante en este aspecto lo constituye la digitalización de dichas
redes.
La digitalización de las redes de telecomunicaciones está llevándose a cabo mediante la
adopción de los requisitos técnicos con los que funciona la red Internet, especialmente
mediante la adopción de sus protocolos de comunicación TCP/IP. Su implantación universal,
en sus últimas versiones, implicará la asignación a cada aparato de cada usuario de un
identificador único, de modo que pueda personalizarse el servicio a él proporcionado. Algo
similar sucedió con los microprocesadores Intel Pentium III, dotados de un identificador
único instalado con fines aún no esclarecidos, aunque públicamente dirigidos a garantizar la
realización de transacciones económicas por medio de los equipos 3
1.3. Competitividad y libre circulación

Por su parte, la pertenencia de España a la Comunidad Europea trae consigo la apertura
del mercado de las telecomunicaciones a los principios de libre circulación de bienes y
servicios y a la competencia. Dichos principios tienen sus repercusiones en el ámbito de
protección de los derechos personales.
El principio de la libre circulación de bienes y servicios por el Espacio Económico
Europeo se erige en el resultado prioritario a lograr con la armonización legal comunitaria y
las regulaciones nacionales de transposición 4, lo que implica serias consecuencias para la
protección de los derechos fundamentales asociados con estos procesos 5.
3
«Los "Pentium III" tendrán código de identificación». Diario El Navegante, 27 enero 1.999,
http://www.navegante/diario.htm. También «Aumenta la movilización social contra Intel y su Pentium III» en La
Brújula.net, 9 marzo 1999. «Identifíquese o salga de la red», en El País 9 de marzo de 1.999.
La preocupación por los tratamientos invisibles con motivos de vigilancia global se ha manifestado también en el
hallazgo de un fichero denominado «NSAkey» en los productos Microsoft. «Descubren una claves en Microsoft
que permite al Gobierno de EEUU espiar», en El País 5 de septiembre de 1999. ««Microsoft niega que se facilite
claves al espionaje norteamericano», en El País, 7 de septiembre de 1999.
4
Así se expresa en el Considerando 1º de la Directiva 97/66/CE de 13 de diciembre, relativa al tratamiento de
los datos personales y a la protección de la intimidad en el sector de las comunicaciones. El art. 1.1 de la
Directiva determina el objeto de la misma de la siguiente forma: « La presente Directiva establece la
armonización de las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de
protección de las libertades y de los derechos fundamentales y, en particular, del derecho a la intimidad, en lo
que respecta al tratamiento de los datos personales en el sector de las telecomunicaciones, así como la libre
circulación de tales datos y de los equipos y servicios de telecomunicación en la Comunidad»
5
De forma expresiva el Dictamen del Consejo Económico y Social sobre el «Libro Verde sobre la convergencia
de los sectores de telecomunicaciones, medios de comunicación y tecnologías de la información y sobre sus
consecuencias para la reglamentación en la perspectiva de la sociedad de la información» señala en su apartado
7.1.1 que «La protección del consumidor, la intimidad, etc., deberían abordarse adaptando la legislación
existente de forma que prime el interés público y garantice el crecimiento del mercado»
Una de las medidas encaminadas al favorecimiento de la competencia más que a la

conveniencia personal del consumidor la constituye la posibilidad de mantener el mismo
número de abonado con independencia del operador de red elegido 6 y de la ubicación
geográfica del abonado. Ciertamente la comodidad de la medida es innegable, al evitar el
continuo trasiego de números telefónicos que han de ser nuevamente comunicados por el
abonado a sus conocidos. Pero no puede dejar de observarse el riesgo de conversión del
número de abonado en un código de identificación de las comunicaciones de todo tipo que
pueda llevar a cabo a través de dicha línea de comunicación.
1.4. El fenómeno Internet 7

La manifestación más evidente de cuanto llevamos expuesto la evidencia Internet.
El conjunto de redes interconectadas para evitar los desastres de un ataque nuclear que
dejara sin comunicaciones los centros de decisión militar norteamericanos frente a una
agresión del bloque del este dio lugar a la red ARPA (Advanced Research Proyect Agency,
Agencia para los Proyectos de Investigación Avanzada). Basada en los protocolos TCP/IP 8,
6
La propuesta de Directiva comunitaria relativa al servicio universal y a los derechos de los usuarios en relación
con las redes de servicios de comunicaciones electrónicas (COM(2000) 392 final, de 12 de julio de 2000), alude
a este derecho en su artículo 25.1: «Los Estados miembros velarán por que todos los abonados a servicios
telefónicos disponibles al público, incluidos los servicios de telefonía móvil, puedan conservar su número o
números, cuando así lo soliciten, con independencia de la empresa que preste el servicio: a) en una ubicación
específica, cuando se trate de números geográficos; b) en cualquier ubicación, si se trata de otro tipo de número».
Este derecho es actualmente reconocido por la legislación nacional (Ley 11/1998, General de
Telecomunicaciones) en su art. 33 en términos similares.
7
Aunque se ofrece una versión resumida del funcionamiento de Internet, puede consultarse en mayor extensión
la «Comunicación de la Comisión al Consejo y al Parlamento Europeo. La organización y gestión de Internet.
Cuestiones de política europea e internacional 1.998-2.000 COM (2000) 202 FINAL, 11 de abril de 2000.
8
El protocolo TCP permite la fragmentación de la comunicación en diversos paquetes, cada uno de ellos
identificado por una cabecera en la que se incluyen la dirección del remitente y la del destinatario, así como el
número de paquetes en que consiste la comunicación y su orden. La transmisión se realiza de forma dinámica,
buscándose las conexiones más eficientes (best effort) en cada momento, de forma que el usuario no puede
controlar la vía de acceso. La comunicación no requiere, por otra parte, que los comunicantes se hallen
conectados simultáneamente a la red.
El protocolo IP asigna un número de identificación único a cada máquina. Las direcciones IP identifican cada
ordenador conectado a la red, pero no de forma única permanentemente. Existen direcciones IP estáticas, que sí
son permanentes, de las que hacen uso personas o empresas que requieren una conexión continua a la red; en
tanto que los usuarios particulares emplean direcciones IP dinámicas, es decir, variables por sesión de
comunicación, que le son asignadas por su proveedor de acceso a Internet.
Las direcciones IP consisten en un número formado por 32 bits, un máximo de 12 dígitos. Ello proporciona un
rango de 4.300 millones de direcciones, que daría cobertura a la red hasta 2005. No obstante, el desarrollo de la
telefonía de tercera generación UMTS, los servicios de televisión y video por cable, y la adhesión de China y
Japón a la tecnología de telefonía referida han convertido en insuficiente el rango de direcciones. Por ello el
Consorcio W3C y su IETF (Internet Engineering Task Force, Grupo de Trabajo de Ingeniería Internet),
encargados de la elaboración de los estándares técnicos en que se basa la red, están desarrollando pruebas del
nuevo protocolo Ipv6, que por las direcciones de 128 bits permitirá disponer de 340 cuatrillones de direcciones
IP, suficientes para la asignación de una IP estática a cada aparato que se conecte a la Red. El inconveniente para
la intimidad de dicho protocolo es, nuevamente, la asignación de un código único de identificación para cada
terminal, favoreciendo el hallazgo de relaciones entre equipos y usuarios. Al respecto, véanse «El protocolo Ipv6
hará de Internet una red más estable y robusta», Ciberpaís, 8 de febrero 2.001
http://ciberpais.elpais.es/d/20010208/portada/portada.html e «Internet protocol proposal raises pruivacy
concerns» http://www.news.cnet.com/news/0-1005-200-852235.htm .
La identificación a los recursos Internet se efectúa mediante las DNS (Domain Name System, Sistema de
Nombres de Dominio). Cada ordenador identificado con una dirección IP recibe un nombre formado por una
las comunicaciones se organizaban en pequeños bloques que circulaban por los nodos de la
red buscando el mejor y más rápido camino de llegada, de forma que pudiera obviarse la caída
o destrucción de algunos de los centros de transmisión sin merma de la capacidad de
comunicación de toda la red.
La inclusión de los centros universitarios, así como de las empresas de informática en
dicha red, propiciaron su expansión por el mundo universitario y por la comunidad científica
internacional 9. La explosión de uso llegó en los años 90, donde se popularizó su empleo y se
comenzó a vislumbrar su potencialidad como base de transacciones comerciales 10.
Los numerosos servicios ofrecidos por la WWW permiten aprovechar al máximo las
características anteriormente expuestas. La personalización de los contenidos llega a su
máxima expresión.
No obstante, paradójicamente esa capacidad de personalización comporta riesgos
inusitados para la vida privada de los usuarios. La capacidad de recogida y procesamiento de
información aumentan considerablemente y permiten la elaboración, a través del análisis de
los datos de navegación (los recogidos durante el acceso a las páginas web, o a los foros de
noticias y salones de discusión –chat-forums–, o de las consultas realizadas a través de los
motores de búsqueda), de perfiles de personalidad destinados a la prospectiva comercial. En
muchos casos, esos tratamientos son realizados sin el conocimiento del usuario afectado
mediante los denominados «tratamientos invisibles de hardware y software», lo que puede
vulnerar los principios de protección de datos establecidos por los instrumentos legales
internacionales 11.
combinación de una denominación seguida de una referencia de dos o tres letras (.org, .com; .es) que aluden a
una actividad genérica (dominios de alto nivel: comunicaciones: .com; gobierno: .gov; organizaciones o
entidades: .org) o a una localización geográfica (España: .es; Europa: .eu; Italia: .it). Estas DNS, conocidas con
el nombre de URLs o direcciones Internet, permiten la traducción de las direcciones IP en denominaciones más
legibles por los usuarios (www.fiscalia.org). El recurso es mantenido por la industria privada a través de la
ICAAN (Internet Corporation for Asignation of Numbers and Names; Corporación Internet para la Asignación
de Números y Nombres).
9
La conocida World Wide Web (WWW) o telaraña mundial, es fruto del laboratorio CERN de la Universidad de
Ginebra. Sus miembros necesitaban un medio de acceder a la información de sus colegas en otras universidades,
para lo que idearon el protocolo http (Hiper Textual Transfer Protocol, Protocolo de Transferencia de
Hipertexto, por el que era posible, mediante la elaboración a enlaces a otros documentos, acceder a información
textual, sonora y gráfica alojada en otros ordenadores conectados.
10
Se alude de forma obligada al denominado «Informe Gore» sobre la National Information Infraestructure ,
Infraestructura Nacional de la Información, popularmente conocida como «autopista de la información», en el
que el vicepresidente norteamericano expuso a la nación el proyecto gubernamental de potenciación de las redes
de telecomunicaciones para su empleo por las empresas, la administración y la cultura.
Sobre este fenómeno y sus implicaciones, véase DAVARA RODRÍGUEZ, Miguel Ángel, «De las Autopistas
de la información a la Sociedad Virtual», Pamplona, 1.996.
11
Merecen destacarse las Recomendaciones del Consejo de Europa y del Grupo de Protección de Datos
Personales creado al amparo del art. 29 de la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,
relativas al fenómeno Internet. Así, la Recomendación (99)5 del Comité de Ministros de los Estados miembros
del Consejo de Europa sobre la protección de la intimidad en Internet. Y en el ámbito comunitario, la
Recomendación 3/1997sobre Anonimato en Internet (DGXV D/5022/97/ES/final WP6); el Dictamen 1/1998
sobre la Plataforma de Perfiles de Privacidad (P3P) y Normas de Perfiles Abierta (OPN) (DGXV
D/5032/98/WP11), y la Recomendación 1/1999 sobre el Tratamiento Invisible y Automático de Datos
Personales en Internet efectuado por software y hardware ( DGXV D/5013/99/ES/final/WP16); todos ellos del
Grupo de Trabajo del art. 29.
La aparente alegalidad de Internet ha de ser descartada; el Grupo de Trabajo del art. 29 ha

manifestado, al igual que las demás instituciones comunitarias, que las comunicaciones a
través de Internet se hallan sometidas tanto a la Directiva 97/66/CE, de 13 de diciembre, sobre
tratamiento de datos personales en las telecomunicaciones, como a la Directiva general
95/46/CE (DPD), de 24 de octubre, relativa a la protección de las personas físicas frente a los
tratamientos de datos personales y a su libre circulación 12
1.5. Implicaciones legales. La reglamentación de un sector en continua evolución
Una ley no escrita de las nuevas tecnologías –la ley de Moore– indica que el estadío
tecnológico actual sufre un cambio cada seis meses. Ello supone una verdadera «carrera de
tecnología», que cada dicho período deviene obsoleta.
La aplicación de esa norma sociológica implica, desde el plano legal, una imposibilidad
aún mayor a la habitual, una incapacidad estructural para que el ordenamiento jurídico pueda
asumir, comprender y regular dichos fenómenos. Basta observar la duración habitual del
proceso legislativo ordinario para comprobar que, ni con toda la celeridad y deseo de atender
con prontitud la demanda de regulación, el legislador es incapaz de regular al ritmo de la
necesidad social el fenómeno de las telecomunicaciones.
A pesar de ello, el número de normas dictadas es amplio, siendo la mayoría de ellas de
rango administrativo y de alto contenido técnico. A estas características hay que añadir la
dimensión internacional del mercado de las comunicaciones, lo que incrementa la dificultad
para el ciudadano medio –y cabría pensar si también para el jurista– de conocer la mera
existencia del marco regulador de este fenómeno social. Y no hablemos de su simple
entendimiento.
1.6. La intimidad y la protección de datos
El derecho a la vida privada, proclamado por el art. 8 del Convenio Europeo de Derechos
Humanos (en adelante CEDH), va a sufrir una enorme presión a consecuencia de los nuevos
avances tecnológicos en materia de telecomunicaciones.
La personalización de los servicios antes mencionada, la tecnificación del sector
legislativo relativo a las comunicaciones, su carácter internacional, y la velocidad de
renovación de la tecnología –con la consiguiente impresión de velocidad a la regulación que
ha de acompañarla– suponen serios obstáculos para la formación de un cuerpo de doctrina y
regulación homogéneo.
En la actualidad existe un conflicto evidente entre tres aspectos derivados del nuevo
entorno tecnológico: la protección de la vida privada, que exige el acceso a las redes de
comunicación en condiciones de preservar razonablemente el anonimato y la confidencialidad
de los contenidos: los intereses del comercio, que requieren mecanismos adecuados de
determinación de la identidad de los intervinientes en transacciones comerciales electrónicas;
y la preocupación de las fuerzas del orden público por asegurarse un nivel suficiente de
En el seno del Grupo Internacional de Trabajo sobre Protección de Datos en las Telecomunicaciones deben
igualmente citarse las Posiciones Comunes sobre la «Protección de Datos y los motores de búsqueda en
Internet», adoptada en la 23 Reunión del IWP en Hong Kong el 15 de abril de 1.998; y la Posición Común
relativa a los «Perfiles On-line en Internet», adoptada durante la 27 reunión mantenida en Creta el 5 de mayo de
2000.
Estos documentos pueden consultarse en las Memorias de la Agencia de Protección de Datos de 1.998 y 1.999,
así como en el site de la DGXV http://www.europa.eu.int/dg15/en/media/dataprot/index.htm
12
«Privacidad en Internet: enfoque comunitario integrado de la protección de datos en línea», adoptado por el
Grupo de Trabajo del art. 29 el 21 de noviembre de 2000, DGXV D/5063/00/ES/FINAL WP37.
capacidad tecnológica que permita la investigación de los ilícitos que se cometan en la red, así
como la averiguación de sus responsables.
Las normas de protección de datos personales se constituyen, por ello, en la primera
barrera de protección de la vida privada. A través de sus normas, armonizadas por medio de
instrumentos normativos comunitarios, los ciudadanos de la Comunidad Europea gozan de un
nivel adecuado de protección, pudiendo hacer uso de los mismos derechos y facultades en
todo el territorio ante las autoridades internas o del Estado del que procede el ataque a su
intimidad.
Como quiera que las operaciones de comunicación comportan distintos tratamientos de
datos (previos a la comunicación –inclusión en servicios de guía o directorio de información
de datos de identificación de abonados–; durante la transmisión –datos de tráfico,
identificación de llamadas entrantes y líneas conectadas–; y con posterioridad –facturación,
oferta de servicios de valor añadido–), estas normas serán las determinantes del nivel de
protección atribuido por la conciencia social a la vida privada en un entorno de
comunicaciones. Los procesos judiciales, especialmente los penales, habrán de tener sus
contenidos muy en cuenta como «normas informacionales de primer nivel», en tanto no se
cuente con normas procesales propias relativas al uso de medios informatizados como
herramientas de investigación 13
Las páginas siguientes van destinadas a proporcionar una aproximación al marco
regulador de protección de la vida privada, en su manifestación de secreto de las
comunicaciones y de la protección de datos personales a ellas asociadas
2. EL MARCO REGULADOR
Las comunicaciones electrónicas constituyen un bien económico susceptible de

explotación. Como manifestaba el «Libro Verde sobre la convergencia de los sectores de
telecomunicaciones, medios de comunicación y tecnologías de la información y sobre sus
consecuencias para la reglamentación en la perspectiva de la sociedad de la información», la
aparición de servicios nuevos y el desarrollo de los ya existentes propiciarás el crecimiento
del mercado de la información en general, lo cual generará nuevas oportunidades de creación
de empleo y desarrollo económico.
Estas perspectivas motivan en la actualidad un amplio esfuerzo normativo por parte de la
Comunidad Internacional para propiciar el libre intercambio de servicios, datos y equipos de
telecomunicaciones, que es especialmente intenso en el ámbito de la Comunidad Europea.
Los intereses jurídicos de protección de la vida privada se traducen en el reconocimiento
legal internacional y comunitario del derecho al secreto de las comunicaciones y a la
confidencialidad de las mismas, a la protección de datos personales, y a la protección de la
13
En materia de protección de datos la utilización de una determinada información estará legitimada y amparada
legalmente, para un sujeto determinado, si la regulación genérica sobre los datos de carácter personal –o la
específica a que el tipo de datos personales se refiere– y la propia del ámbito de actuación del sujeto destinatario
o de actividad a desarrollar (judicial, administrativa o meramente privada) así lo admita. Sólo si se supera el
primer nivel de regulación citado -que determinará las operaciones, finalidades y cantidad de información
accesible-, y con el cumplimiento de los requisitos que prevean las normas a que se somete del sujeto
destinatario y/o la actividad o procedimiento a que destine dicha información (las normas procesales, las
reguladoras del régimen administrativo, o determinado sector económico, como por ejemplo el de
telecomunicaciones), el uso de la información de carácter personal será admitido.
dignidad humana frente a contenidos ilícitos y nocivos, especialmente en el caso de la

infancia. Este último aspecto se ha visto fortalecido mediante la incorporación al
ordenamiento jurídico comunitario de determinados instrumentos de actuación, que
posteriormente analizaremos, en la Directiva 2000/31/CE, de 8 de junio de 2000, sobre
determinados aspectos jurídicos de los servicios de la sociedad de la información, en
particular el comercio electrónico en el mercado interior 14
Por su parte, la cooperación internacional en el ámbito de las actividades de Libertad,
Seguridad y Justicia (el denominado Tercer Pilar Comunitario) está dando lugar a una intensa
labor de desarrollo de normas vinculantes para propiciar la persecución de los delitos
informáticos y relacionados con las tecnologías de la información. Por su especifidad nos
referiremos a esta materia en la Parte II de este estudio, ciñéndonos en el presente apartado a
la reseña de la normativa relacionada con el mercado de las telecomunicaciones, el comercio
electrónico y la protección de datos personales.
2.1. Consejo de Europa
Los primeros reconocimientos del derecho al secreto de las comunicaciones se hallan en la
genérica referencia al derecho a la vida privada, en su modalidad de secreto de
correspondencia.
La Declaración Universal de los Derechos Humanos, de 10 de diciembre de 1.948
estableció en su art. 12 que «Nadie será objeto de injerencias arbitrarias en su vida privada, su
familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda
persona tiene derecho a la protección de la ley contra tales injerencias o ataques».
En el Pacto Internacional de los Derechos Civiles y Políticos, de 19 de diciembre de
1.966 se renovó dicho reconocimiento en el art. 17, con la diferencia de incluir la referencia a
los ataques «arbitrarios o ilegales».
Debe notarse que no se protege el derecho de forma absoluta, sino únicamente frente a
injerencias arbitrarias o ilegales. La segunda referencia incluida por el Pacto de 1.966 permite
incluir las agresiones no amparadas en la ley, en tanto que la alusión a la arbitrariedad permite
inferir una previa intervención legal desproporcionada o viciada.
2.1.a) Convenios
El Convenio Europeo de los Derechos Humanos (CEDH), de 4 de noviembre de 1.950,
también conocido como Convenio de Roma, reconoce el derecho al secreto de
comunicaciones en su artículo 8.
«1.Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio
y de su correspondencia.
2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho,
sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida
que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad
pública, el bienestar económico del país, la defensa del orden y la prevención del delito,
la protección de la salud o de la moral, o la protección de los derechos y las libertades de
los demás»
La fórmula de reconocimiento se refiere exclusivamente al derecho a la correspondencia,
no existiendo ningún problema para entender incluido el derecho al secreto de las
comunicaciones mantenidas por cualquier artificio técnico, como pone de manifiesto
14
D.O.C.E. L 178/1, de 17/07/2000.
MORENILLA RODRÍGUEZ 15, incluyendo, por supuesto, las comunicaciones telefónicas

(casos Klass 1.977, Malone 1.984, Kruslin, Huvig Y Ludi 1.990, Valenzuela Contreras
1.998).
La especial relevancia de este precepto en el tema estudiado, las intervenciones legales de
las comunicaciones, obligan a dejar ahora reseñado la necesidad de que el poder estatal de
interferencia en esta esfera de la vida privada se ejecute para el cumplimiento de uno de los
estrictamente interpretados fines previstos en el párrafo 2º, previsto en una ley de determinada
calidad, y sometida al principio de proporcionalidad.
En la específica materia de protección de datos personales no puede soslayarse la cita del
Convenio 108, de 28 de enero de 1.981, para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal. Dicho Convenio, base de la
regulación comunitaria, amplía y actualiza la protección conferida al derecho a la vida privada
por el CEDH ante los tratamientos automatizados de datos personales. La protección se
sustenta sobre el establecimiento de unos principios de tratamiento (calidad, seguridad,
sensibilidad) y de unas garantías para el afectado, consistentes en el otorgamiento a los
afectados de los derechos de acceso, rectificación y cancelación, así como a la obligación
impuesta a los Estados signatarios de constituir una autoridad de protección.
El Convenio 108 considera la protección de datos personales como un garantía
instrumental de otras libertades fundamentales, concretamente la vida privada, de las Que son
titulares las personas físicas. Dentro de su ámbito no caen, por tanto, los intereses de las
personas jurídicas.
2.1.b) Recomendaciones
A pesar de carecer de carácter vinculante para los Estados signatarios, el Consejo de
Europa ha realizado una continua labor de actualización de sus Convenios de protección a
través de recomendaciones del Comité de Ministros. De este modo se ha desarrollado una
verdadera regulación sectorial en función de los intereses y riesgos advertidos en cada
momento histórico.
De entre las recomendaciones dictadas deben ser citadas, en el campo de la protección de
datos asociados a las telecomunicaciones la Recomendación R(95) 4, sobre protección de los
datos de carácter personal en el ámbito de los servicios telecomunicación especialmente en
lo que se refiere a los servicios telefónicos, así como la Recomendación R (99)5, sobre la
protección de la intimidad en Internet.
La primera de las resoluciones dictadas alude a los avances en materia de digitalización
de las telecomunicaciones que, además de potenciar su empleo, comporta riesgos para los
derechos fundamentales. Uno de ellos es la necesidad de realizar tratamientos automatizados
de datos para el desarrollo de estos servicios, lo que implicará la aplicación del Convenio 108.
La recomendación declara, como no podía ser de otra forma, el respeto a la vida privada
y al secreto de las comunicaciones, prohibiendo por ello cualquier injerencia en el contenido
de las comunicaciones por cualquier proveedor de servicios que intervenga en el proceso
técnico; sin perjuicio del reconocimiento de las posibles intervenciones legalmente
autorizadas, para lo que prevé determinadas garantías.
Los tratamientos de datos previstos para las actividades de facturación y para la
verificación técnica de los servicios son autorizados siempre que se cumplan las garantías
15
MORENILLA RODRÍGUEZ, José María, «El derecho al respeto de la esfera privada en la jurisprudencia del
Tribunal Europeo de Derechos Humanos», en Cuadernos del CGPJ 11, Madrid, 1993, págs. 318-321.
previstas en el Convenio 108. Especial atención se le confiere al derecho de información,

instrumento fundamental para el otorgamiento del consentimiento a los tratamientos.
Especialmente, se dictan criterios de aplicación y actualización de los principios de
tratamiento y de las facultades de protección del Convenio a los aspectos específicos de las
telecomunicaciones, como son las facilidades de identificación de las líneas y llamadas
entrantes y salientes, los desvíos de llamadas, las llamadas efectuadas con propósito de
márketing, así como sobre el empleo de datos personales en las guías de abonados.
Por su parte la segunda establece criterios dirigidos tanto a los usuarios como a la
industria de bienes y servicios relacionados con Internet, indicando la utilidad de su recogida
en códigos sectoriales de conducta. Las directrices se dirigen a la sensibilización de los
usuarios y de la industria sobre los riesgos que el uso de estas tecnologías comporta para la
intimidad, así como de los derechos que les amparan, y de las obligaciones que recaen sobre
las empresas para hacer posible el ámbito de protección establecido por los Convenios
suscritos sobre la materia.
Interesante resulta la declaración de sometimiento de las actividades de comunicación
realizadas a través de la red al respeto a los derechos humanos y a las libertades
fundamentales, especialmente al derecho a la intimidad y al secreto de las comunicaciones.
Por tal motivo, se afirma que «la recogida, tratamiento y, sobre todo, la comunicación de
datos de carácter personal a través de las nuevas tecnologías de la información, en concreto de
las “autopistas de la información”, están regidas por las disposiciones del Convenio para la
protección de las personas respecto al tratamiento automatizado de datos de carácter personal
y por las recomendaciones sectoriales relativas a la protección de datos»
2.2. Legislación comunitaria
Los principios de libre circulación de productos y servicios y de libre competencia en el
seno de la Comunidad Europea se aplican también al mercado de las telecomunicaciones. Las
implicaciones económicas ya apuntadas de las sociedad de la información, y el papel a jugar
en ella por las redes de telecomunicaciones, ha motivado la elaboración de numerosas normas
reguladoras de este emergente sector económico.
Cabe diferenciar los sectores de regulación que inciden en la completa regulación de la
sociedad de la información en cuanto se refiere al régimen de las telecomunicaciones y de
Internet.
2.2.a) Sobre comunicaciones electrónicas
El sector de las telecomunicaciones está siendo objeto de una labor de actualización de
sus normas reguladoras. La explosión del fenómeno Internet exige una actualización y
armonización de las legislaciones nacionales sobre telecomunicaciones, que a partir de ahora,
por la aplicación de la digitalización e informatización de los procesos de comunicación,
pasan a denominarse «comunicaciones electrónicas» por virtud de la convergencia de los
medios de telecomunicación.
Las normas a considerar se hallan en fase de elaboración. Se trata de las siguientes:
- Propuesta de Directiva del Parlamento Europeo y el Consejo relativa a un nuevo
marco regulador común para las redes y servicios de comunicaciones electrónicas
16
16
COM (2000) 393 Final, de 12 de julio de 2000.
- Propuesta de Directiva del Parlamento Europeo y el Consejo relativa al acceso a

las redes de comunicaciones electrónicas y recursos asociados, y a su
interconexión 17
- Propuesta de Directiva del Parlamento Europeo y el Consejo relativa al servicio
universal y los derechos de los usuarios en relación con las redes de servicios y
comunicaciones electrónicas 18
Las propuestas pretenden realizar una actualización de la regulación comunitaria y
nacionales al nuevo entorno de las comunicaciones electrónicas, con el propósito de favorecer
y estimular la innovación, la competencia y la libre elección de los usuarios.
El conjunto del panorama regulador propuesto puede resumirse de la siguiente forma:
Creación de un marco de normas tecnológicamente neutras que puedan hacer
frente a la necesidad de seguridad jurídica en el empleo de diversos medios de
comunicación electrónica (voz, datos, fax, televisión digital, radiodifusión,
telefonía fija y móvil).
Pretensión de regulación de todo el mercado de proveedores de redes y de
servicios de comunicaciones electrónicas.
Separación de la regulación aplicable a los proveedores de servicios de
comunicación y a los proveedores de contenidos 19
Admisión y reconocimiento de la interdependencia entre los anteriores, que, por
una parte, precisan de acceder a las redes comunes para ofrecer sus servicios y,
por otra, pueden prestar ambos tipos de servicio a la vez.
Actualización de las obligaciones incluidas en el concepto de servicio universal.
Garantía de las facultades de reglamentación gubernamentales en beneficio de los
intereses de los consumidores y usuarios.
Reconocimiento de los derechos de éstos, en particular en cuanto a su derecho a la
libre opción de operador 20, al acceso a los servicios universales, a los servicios de
urgencia, de información sobre datos de abonados 21, sobre contratos y sobre
calidad de los servicios suministrados.
17
18
19
Precisa el Considerando 7 de la propuesta de Directiva relativa al marco regulador para las redes y los
servicios de comunicaciones electrónicas: «La convergencia de los sectores de telecomunicaciones, medios de
comunicación y tecnologías de la información supone que todos los servicios y las redes de transmisión estén
sometidos a un único marco regulador. [...]Es necesario separar la regulación de la transmisión de la regulación
de los contenidos. Por consiguiente, este marco no cubre el contenido de los servicios prestados a través de las
redes de comunicaciones electrónicas utilizando los servicios de comunicaciones electrónicas, tales como los
contenidos radiodifundidos, los servicios financieros y determinados servicios de la sociedad de la información.
[...]La separación entre la regulación de la transmisión y la regulación de los contenidos no es óbice para tener en
cuenta los vínculos que existen entre ambas. »
20
A tal fin se establece, en el art. 25 de la propuesta de directiva sobre el servicio universal el derecho al
mantenimiento del mismo número de abonado, de acuerdo con lo previsto en el considerando 28.
21
En consonancia con los principios de protección de datos personales, se prevé el derecho de los usuarios a
decidir la cantidad y calidad de los datos a incluir en las guías de abonados, de conformidad con la regulación
específica (considerando 7), debiendo establecerse un servicio público de información de los contenidos de
dichas guías (art. 21), que deberá igualmente respetar la legislación sobre protección de la intimidad y los datos
personales.
2.2.b) Sobre protección de datos personales

Siguiendo la estela del Convenio Europeo 108, sobre protección de datos personales, la
Comunidad Europea ha asumido la protección de datos personales como uno de sus derechos
fundamentales. No es extraño, por ello, su recepción en el art. 8 de la Carta Europea de
Derechos Fundamentales 22, aprobada en la Conferencia de Niza de diciembre de 2000, con la
particularidad de ser la primera ocasión en que este derecho ha sido reconocido como una
garantía independiente 23. La propia Comunidad Europea lo ha adoptado como principio
regulador de la actividad de sus instituciones, según recoge el art. 286 del Tratado de la
Comunidad Europea 24
Las normas específicas de protección de datos personales aplicables en materia de
comunicaciones electrónicas son las siguientes:
- Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos.
- Directiva 97/66/CE, de 13 de diciembre, relativa al tratamiento de datos
personales y a la protección de la intimidad en el sector de las comunicaciones.
- Propuesta de Directiva del Parlamento Europeo y del Consejo, relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector
de las comunicaciones electrónicas 25.
La Directiva 97/66/CE (DT), así como su versión renovada, se aplicará a la prestación de
servicios públicos de comunicación electrónica en redes públicas de comunicación. Tanto las
cuestiones relativas a la protección de datos no contempladas en la DT como la regulación de
éstos en las redes privadas se regirán directamente por laDPD, de acuerdo con el
Considerando 11 26
22
(2000/C 364/01).
23
Artículo 7
Respeto de la vida privada y familiar
«Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus
comunicaciones.»
Artículo 8
Protección de datos de carácter personal
«1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a
acceder a los datos recogidos que la conciernan y a su rectificación.
3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.»
24
Artículo 286 (antiguo artículo 213 B)
«1. A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto
del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones
y organismos establecidos por el presente Tratado o sobre la base del mismo.
2. Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecer, con arreglo al procedimiento
previsto en el articulo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de
dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptar, en su caso, cualesquiera
otras disposiciones pertinentes.
25
COM (2000) 385 final, de 12 de julio de 2000.
26
Esta postura es objeto de crítica por el Grupo de Protección de las Personas del art 29 de la Directiva
95/46/CE, que en su Dictamen 7/2000 (5042/00/ES/Final WP 36) sobre la propuesta, consideró la especial
importancia que están tomando las redes privadas en el tratamiento de datos personales, a las que no se le
Dado que el contenido de las Directivas será considerada en detalle en un apartado

posterior, únicamente haremos alusión a las novedades que incorpora la propuesta de
directiva.
Debido a la convergencia de las comunicaciones se hacía necesaria una incorporación de
nuevas normas específicamente destinadas a los nuevos medios de comunicación (telefonía
IP, basada en el protocolo Internet, servicios de localización geográfica GPS), adoptando una
posición tecnológicamente neutra en las definiciones y reglas. Se ofrecen nuevas definiciones
de comunicaciones (basada en la contenida en las propuestas de directivas relativas al acceso
a los servicios de comunicaciones electrónicas), y de datos de tráfico. Con todas estas
reformas, se pretende dejar clara la plena aplicabilidad de los principios mantenidos por la
DPD y la DT a los nuevos servicios electrónicos 27.
5.2.c) Sobre comercio electrónico
Además de las normas sobre telecomunicaciones, las Directivas relacionadas con
determinados servicios de la sociedad de la información también son de aplicación a nuestro
campo de estudio 28.
Los servicios de la sociedad de la información son definidos en la Directiva 98/34/CE, de
22 de junio de 1.998, como «cualquier servicio prestado normalmente a título oneroso,
mediante un equipo electrónico para el tratamiento (incluida la compresión digital) y el
almacenamiento de datos, y a petición individual de un receptor de servicios». A su
regulación se refiere la Directiva 2000/31/CE, de 8 de junio de 2000, relativa a determinados
aspectos jurídicos de los servicios de la sociedad de la información, en particular sobre el
comercio electrónico en el mercado interior (Directiva de comercio electrónico).
La Directiva de comercio electrónico establece tres aspectos de relevante interés en
materia de comunicaciones electrónicas:
De una parte, la posibilidad de adoptar medidas restrictivas a la prestación de estos
servicios, que incluye la presentación de contenidos de información mediante páginas
web, para la protección de la dignidad de las personas y de los menores, entre otros
objetivos (art. 3.4). Su apartado b) alude a la aplicación de estas medidas en el curso
de una investigación criminal incluso a contenidos radicados en otro país de la
Comunidad.
Por otra, la determinación del lugar de prestación de los servicios, que afectará al
análisis del forum delicti comissi, que influirá ex art. 17 LECr. en la determinación de
la competencia para la instrucción penal. De acuerdo con lo anunciado por el
Considerando 19, será el lugar de establecimiento del prestador de servicios el
determinante para la fijación del lugar de perfección de los contratos sobre servicios
de la sociedad de la información. Por establecimiento deberá entenderse el lugar
donde la empresa efectúe de forma efectiva su actividad económica, sin que sea un
podrían aplicar las disposiciones específicas de la directiva 97/66/CE (control de tráfico de datos,
confidencialidad de las comunicaciones en el ámbito de las redes privadas de empresas que hacen uso de LANs
o WANs), sin que en la directiva general existan criterios aplicables a estos aspectos
27
Recientemente ha sido reafirmado este criterio por la Comisión Europea, en respuesta a la pregunta escrita
formulada por el Grupo PPE-DE en la sesión de 11 de febrero de 2000 (pregunta escrita E-0312/00; DOCE C
330E/119, de 21 de noviembre).
28
Esta conexión es puesta de manifiesto en el Considerando 9 de la Propuesta de Directiva sobre un marco de
regulación común de las redes y servicios de comunicaciones electrónicas COM (2000) 393 Final.
criterio determinante ni el lugar de alojamiento de los medios técnicos ni el lugar

desde el que se puede acceder a los contenidos web.
Por último, se dictan reglas sobre responsabilidad de los proveedores de servicios por
contenidos ilícitos o nocivos, determinándose su irresponsabilidad si no los modifican
ni tienen conocimiento de su carácter ilícito, o si una vez conocido adoptan las
medidas pertinentes para su remoción o impedir el acceso a los mismos (arts. 12-14).
El artículo 15 establece dos obligaciones fundamentales en materia de intervención de
comunicaciones.
De una parte, les eximen de la obligación genérica de supervisar las actividades y
contenidos de sus clientes (Considerando 47).
De otra, abre la puerta a la posibilidad de que el legislador nacional regule la obligación
de comunicar los datos o actividades ilícitas de las que tenga conocimiento, o de
comunicar a las autoridades competentes los datos de identificación de sus clientes que
puedan estar implicados en dichas actividades (Considerando 48).
Por su íntima relación con las comunicaciones electrónicas tampoco debe desconocerse la
implicación del régimen jurídico de la firma electrónica, mecanismo empleado para
garantizar la autenticidad e integridad de las comunicaciones electrónicas.
La regulación comunitaria está contenida en la Directiva 1999/93/CE, de 13 de diciembre,
por la que se establece un marco comunitario para la firma electrónica. A pesar de que la
misma deja subsistentes las normas específicas de protección de datos personales contenidas
en la DPD, su artículo 8 prevé específicas normas relativas a los datos personales mantenidos
por las entidades de certificación. Concretamente se autoriza el uso de seudónimos en los
certificados de firma (pfo. 3). Por su parte, el Anexo II relativo a los requisitos a cumplir por
los servicios de certificación que emitan certificados reconocidos, el apartado j) les obliga a
«no almacenar ni copiar los datos de creación de firma de la persona a la que el proveedor de
servicios de certificación ha prestado servicios de gestión de claves». Esta disposición,
destinada a garantizar la confianza en la unicidad de la firma generada, prevé, supone una
garantía adicional a las comunicaciones electrónicas, al impedir el almacenamiento de un dato
que debería considerarse sensible por su íntima relación con la seguridad de aquéllas, y que
puede ser accesible –como mero dato personal– sin necesidad de mandamiento judicial en
virtud de las excepciones de orden público previstas en la legislación de datos personales.
2.3. Legislación nacional
2.3.a) Sobre comunicaciones electrónicas
El instrumento genérico de protección se halla en la Constitución Española, cuyo art.
18.3, en sede de protección del derecho a la intimidad, reconoce explícitamente el secreto de
comunicaciones: «3. Se garantiza el secreto de las comunicaciones y, en especial, de las
postales, telegráficas y telefónicas, salvo resolución judicial.».
Por su parte, la Ley de Enjuiciamiento Criminal, en su versión dada por la Ley Orgánica
4/1988, de 24 de mayo, regula el régimen de intervención legal de las comunicaciones.
Especial atención merece el art. 579.3, directamente asociado a las intervenciones de
comunicaciones telefónicas. Su análisis se efectuará cuando nos detengamos en el estudio de
los instrumentos de protección de la confidencialidad de las comunicaciones.
La legislación española en materia de telecomunicaciones está constituida por la Ley
11/1998, de 24 de abril, General de Telecomunicaciones (LGT) que transpuso las Directivas
comunitarias del sector, incluida la DT.
La ley determina el procedimiento de adjudicación de las licencias y autorizaciones a los

operadores de red, el contenido del servicio universal de las telecomunicaciones –en el que se
incluye el acceso a las guías de abonados y a los servicios de información sobre ellas, así
como al acceso a los números de emergencia–; la interconexión de redes; la numeración; y la
protección de los derechos de los usuarios, especialmente al secreto de sus comunicaciones
(art. 49) de conformidad con la Constitución y el art. 579 LECr, a la protección de los datos
personales mantenidos con ocasión de dichos servicios (art. 50), a la interceptación de
contenidos por motivos técnicos –que exigirá autorización judicial– (art. 51), y al cifrado de
las comunicaciones, afirmándose el derecho a su empleo y la posibilidad de establecimiento
de medidas de control público consistentes en la comunicación a las autoridades de los
algoritmos o de los procedimientos de cifrado, medida que afecta a los fabricantes,
proveedores de servicios de comunicaciones y usuarios.
La LGT ha sido desarrollada, en cuanto nos interesa, por el Real Decreto 1736/1998, de
31 de julio, por el que se aprueba el Reglamento por el que se desarrolla el Título III de la
LGT en lo relativo al servicio universal de telecomunicaciones, a las demás obligaciones de
servicio público y a las obligaciones de carácter público en la prestación de los servicios y en
la explotación de las redes de telecomunicaciones. Su Título V se dedica a la protección de
los datos personales en las prestación de los servicios de telecomunicaciones. Será estudiado
más adelante.
Relacionados con los derechos contenidos en el concepto de servicio universal, han sido
objeto de específica regulación:
- El acceso a números de emergencia (112), mediante el RD 903/1997, de 16 de
junio, por el que se regula el acceso, mediante redes, de telecomunicaciones, al
servicio de atención de llamadas de urgencia a través del número de telefónico
112. Esta norma fue complementada por la Orden de 14 de octubre de 1.999
sobre condiciones de suministro de información relevante para la prestación del
servicio de atención de llamadas de urgencia a través del número 112. Mediante
dichas normas se establece la obligación de los operadores de redes de
proporcionar a los servicios de atención de llamadas de urgencias la información
personal que se especifica en la Orden del Ministerio de Fomento citada, que
incluye los datos de localización geográfica de las llamadas efectuadas a través de
teléfonos móviles.
- El mecanismo de supresión de la identificación, llamada a llamada, de la línea
llamante, mediante la Resolución de 2 de diciembre de 1.998, de la Secretaría
General de Comunicaciones, por la que se atribuye el código «067» al servicio de
supresión en origen llamada a llamada de la identificación de la línea llamante.
Asimismo, en relación con los servicios de la sociedad de la información (presentación de
información vía web, compras on-line o servicios de firma electrónica y su correspondiente
certificación) han de referirse el RDLey 14/1999, de 17 de septiembre, sobre firma electrónica
29
y el Anteproyecto de Ley de Servicios de la Sociedad de la Información y del comercio
electrónico 30 en su estado de borrador de 12 de enero de 2.001. Ambas normas transponen las
respectivas Directivas comunitarias sobre cada uno de los temas a que alude su título.
29
Un estudio pormenorizado de los documentos electrónicos y firmas electrónicas, contemplados desde el plano
procesal civil y penal puede hallarse en HERNÁNDEZ GUERRERO, Francisco J. , Documentos y firmas
electrónicas, http://www.fiscalia.org/doctdocu/doct/docelectro.pdf
30
Accesible a través de la página web de la Secretaría de Estado para la Sociedad de la Información
http://www.mcyt.es
En el RDLFE, al igual que en la Directiva correspondiente, se incluye un precepto con

normas específicas sobre protección de datos personales (art. 15). Básicamente hace
referencia a la necesidad de contar con el consentimiento del interesado para recabar sus datos
personales; a la posibilidad de empleo de seudónimos en el certificado; y a la obligación de
revelación de la identidad oculta bajo dicho seudónimo en los certificados por petición
judicial, sin perjuicio de las obligaciones de identificación de las personas por asuntos de
seguridad pública.
El anteproyecto de ley de servicios de la sociedad de la información transcribe sin
diferencias el contenido de la Directiva 2000/31/CE, por lo que haremos referencia a su
contenido al tratar de las obligaciones de los proveedores de servicio.
2.3.b) Sobre protección de datos personales
Al igual que en materia de comunicaciones, la legislación nacional de protección de datos
personales es una transposición de la DPD. La adaptación a la misma se efectuó por la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPDP)
que derogó la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento
automatizado de datos de carácter personal (LORTAD).
A diferencia de la LORTAD, el art. 28 determina el concepto de fuentes accesibles al
público, excluyendo de su condición en el apartado 4º a las guías de servicios de
telecomunicaciones, que se regirán por su normativa específica (que es la que hemos tenido
ocasión de reseñar).
La normativa se completa con las siguientes normas:
- RD 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la Ley
Orgánica 5/1992, de 29 de octubre, en tanto no se considere derogada por la
LOPDP (D.T.6ª LOPDP).
- RD 428/1993, de 26 de marzo, que establece el Estatuto de la Agencia de
Protección de Datos.
- RD 994/1999, de 11 de junio, por el que se establece el Reglamento de
Medidas de Seguridad de los Ficheros Automatizados de Datos de Carácter
Personal (RMS). Su art. 26 establece, en cuanto a los ficheros con datos de
alto nivel 31 que
«La transmisión de datos de carácter personal a través de redes de telecomunicaciones se
realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice
que la información no sea inteligible ni manipulada por terceros»
3. LOS SUJETOS IMPLICADOS EN LAS COMUNICACIONES

ELECTRÓNICAS
31
El art. 4.3 del RMS determina que «Los ficheros que contengan datos de ideología, religión, creencias, origen
racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento
de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel
alto.
La hasta ahora actual relación remitente-destinatario-operador de servicios, participante en

una comunicación postal, telegráfica o telefónica, se ha visto incrementada en el número de
personas implicadas.
La convergencia de las comunicaciones electrónicas hace que se puedan ofertar múltiples
servicios de contenido a través de numerosas redes de comunicaciones electrónicas
interconectadas. Ello implica en el proceso comunicativo –que, no olvidemos, ahora también
abarca tratamientos automatizados de datos de diversa naturaleza, como tendremos ocasión de
estudiar más adelante– no sólo a las empresas que suministran las redes a través de las que se
envían las señales, sino a las empresas que proveen dichos servicios de comunicación –como
el acceso a Internet, o los contenidos web que a través de Internet pueden consultarse, o los
motores de búsqueda de dicha información–.
La correcta canalización de las peticiones concretas de intervención de comunicaciones,
dirigidas siempre por el principio de proporcionalidad, exigen conocer el marco actual de
sujetos implicados para poder precisar qué tipo de información pueden suministrar, optando
de este modo por la intervención menos intrusiva en la vida privada y en la confidencialidad
de las comunicaciones.
3.1. Usuarios y abonados
El sujeto a proteger mediante los derechos fundamentales del secreto de comunicaciones
y de protección de datos personales es el interviniente en la misma.
El TEDH manifestó en el caso Malone (1.984) la cobertura por el derecho al secreto de
las comunicaciones de la identidad subjetiva de las partes. Ello implica la protección frente a
la mera observación de las comunicaciones con el objeto de conocer los intervinientes –
técnica de «comtpage»–.
No obstante, debe matizarse que puede ser distinta la persona del usuario en un momento
dado del servicio de comunicaciones, de la persona abonada al mismo.
Abonado es, de acuerdo con el art. 2 de la DT, «la persona física o jurídica que sea parte
en un contrato con el proveedor en un servicio público de telecomunicaciones para la
prestación de tales servicios» 32.
Por su parte, el usuario es , de acuerdo con la misma norma, «la persona que utiliza un
servicio público de telecomunicación con fines privados o comerciales, aunque no haya
contratado dicho servicio» 33
Esta distinción opera su utilidad cuando se trata de averiguar la persona afectada por una
petición de acceso a datos de facturación relacionados con un determinado número de
abonado. Aquí no nos hallaríamos automáticamente ante una identificación del participante en
una conversación (identidad amparada en el secreto de comunicaciones, según la doctrina del
TEDH), sino ante una petición de datos personales de naturaleza ordinaria sometida al
régimen de cesión de datos personales.
Las Directivas comunitarias –fundamentalmente las propuestas revisadas en materia de
comunicaciones electrónicas– introducen esta distinción, en parte porque los derechos de
32
Esta definición es la recogida, igualmente, en los catálogos de definiciones de los respectivos arts. 2 de las
propuestas de Directivas relativas al marco regulador común para las redes y servicios de comunicaciones
electrónicas, y al servicio universal y los derechos de los usuarios en relación con los mismos.
33
En términos muy similares, la propuesta de Directiva relativa al tratamiento de los datos personales y la
protección de la intimidad en el sector de las comunicaciones electrónicas.
intimidad y protección de datos sólo se confieren a las personas físicas 34 -las personas
jurídicas sólo ven reconocida la protección de sus legítimos intereses jurídicos 35, en parte
porque se admite la protección de la intimidad de los usuarios incluso frente a los abonados 36
3.2. Los proveedores de servicios
En las nueva sociedad de la información las empresas que operan en el mercado pueden
intercambiar sus papeles y proporcionar varios. A diferencia de la situación anterior, donde
los operadores de redes sólo proporcionaban acceso al servicio telefónico, en la actualidad
pueden arrendar líneas a otros operadores, proporcionar acceso a Internet, servicios web
(alojamiento o hosting de páginas o fórums), motores de búsqueda, directorios de información
personal, o cualquier otro servicio.
Por su interés, reproducimos el cuadro explicativo elaborado por el Grupo de Protección
de las Personas del art. 29, donde se reflejan los sujetos, sus funciones en el proceso
comunicativo, sus actividades de tratamiento de datos y los preceptos de las Directivas que les
son de aplicación 37
Agente Función Posible tratamiento de Preceptos pertinentes

datos personales de la Directiva de
telecomunicaciones
Proveedor de -Registro de conexiones
Conectar al usuario de - Directiva de
telecomunicaciones entre el usuario de
Internet con el telecomunicaciones, y
Ej.: AT&T Internet y el proveedor
proveedor de servicios en especial
de servicios de Internet
de Internet confidencialidad de las
-Transferencia de la
comunicaciones y de los
identificación de la
datos sobre facturación y
línea llamante del
tráfico y presentación y
usuario al proveedor de
restricción de la
servicios de Internet
identificación de la línea
llamante y de la línea
conectada.
Proveedor de servicios - Prestar el servicio de - Registro de las -Directiva de
de Internet Ej.: World Internet solicitado identificaciones de telecomunicaciones, y
34
Debe citarse el Considerando 2 de la Directiva 95/46/CE: «Considerando que los sistemas de tratamiento de
datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas
físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y
contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los
individuos»
35
Considerandos 6 y 7 de la propuesta de Directiva relativa al tratamiento de datos y protección de la intimidad
en el sector de las comunicaciones electrónicas.
36
Se plantea la posibilidad de poder solicitarse no recibir facturas detalladas o desglosadas que impidan al titular
o abonado del servicio conocer las llamadas efectuadas por algún usuario del mismo. Algo útil en el ámbito de
las empresas o de los establecimientos abiertos al público (como hoteles).
El art. 7 de la Directiva 97/66/CE establece, a este respecto:
«1. Los abonados tendrán el derecho a recibir facturas no desglosadas.
2. Los Estados miembros aplicarán las disposiciones nacionales a fin de reconciliar los derechos de los
abonados que reciban facturas desglosadas con el derecho a la intimidad de los usuarios que efectúen llamadas y
de los abonados que reciban llamadas, por ejemplo, garantizando que dichos usuarios y abonados dispongan de
suficientes otras modalidades de comunicación o de pago.»
37
GRUPO DE PROTECCIÓN DE DATOS, «Privacidad en Internet. Enfoque comunitario integrado de la
protección de datos en línea», 5063/00/ES/FINAL WP37.
Online - Transferir la petición líneas de llamada en especial

delusuario de Internet entrantes confidencialidad de las
al servidor proxy - Asignación de comunicaciones y de los
(caché)- Transferir la dirección IP a una datos de facturación y
petición delusuario de sesión tráfico.
Internet al sitio web- - Posibilidad de
Transferir la respuesta almacenar listas de
del servidor proxy al visitas a los sitios web
usuario de Internet- clasificadas por
Transferir la respuesta dirección IP
del sitio web al usuario - Intercambio de datos
de Internet con los sitios web
solicitados
- Registro de las
sesiones (hora de inicio
y fin de la sesión y
cantidades de datos
transferidos)
- Minería de datos de
cabeceras y contenido.
Servicios de portal - Seleccionar el - Registro de las - Directiva de
Ej.: Yahoo, AOL, suministro de peticiones a los sitios telecomunicaciones
Macropolis información que están tras el portal (aplicable al proveedor
- Ofrecer información - Posible registro de las de servicios de Internet
(proveedor de visitas realizadas al sitio que aloja el portal).
contenidos) y, en - Registro de páginas
ocasiones, bienes y remitentes y palabras
servicios clave introducidas
(datos de charloteo)
- Envío de cookies al
disco duro del usuario
de Internet
- Elaboración de
perfiles
Página inicial / sitio - Ofrecer información - Posible registro de

web (proveedor de visitas realizadas al sitio
muy visitado contenidos) - Registro de páginas
Ej.: www.coe.int y, en ocasiones, bienes remitentes y palabras
y clave introducidas
servicios (datos de charloteo)
- Envío de cookies al
disco duro del usuario
de Internet
- Elaboración de
perfiles
Proveedores de - Personalizar páginas - Elaboración de - No siempre constituye

servicios adicionales web perfiles (fusionando las un servicio de
Ej.: Nedstat, series de clics de varios telecomunicación, por lo
Doubleclick, sitios web) que la Directiva de
Banners telecomunicaciones sólo
se aplica en algunos
casos.
Proveedores de - Conectar a los Direccionamiento de - Directiva de

encaminadores y de proveedores de datos de un usuario de telecomunicaciones, y
líneas de conexión (con servicios de Internet Internet al sitio web IP en especial seguridad y
frecuencia propiedad de Riesgo de confidencialidad de las
los proveedores de interceptación
comunicaciones). ilegal
3.2.a) Los proveedores de servicios de comunicaciones electrónicas

Son los titulares de las infraestructuras de comunicaciones 38, de las redes a través de las
que se efectúan las comunicaciones electrónicas. Son definidos como «la empresa que
proporciona, explota o controla una red de comunicaciones electrónicas disponible al público
o un recurso asociado, como puede ser un sistema de acceso condicional, que le permite
limitar o impedir el acceso de los prestadores de servicios a los usuarios finales o la libre
elección de servicios por parte de dichos usuarios» 39.
Estos operadores llevan a cabo tratamientos de datos de tráfico y de facturación, en orden
a la reclamación de su importe al abonado. Igualmente recaban datos de suscripción a través
del contrato de servicios concertado con el cliente final, mediante los que obtienen
información relativa a su identidad, medios de contacto, dirección postal y ubicación
geográfica y datos de cuenta corriente y forma de pago.
Especial interés tienen, en cada país, los operadores dominantes; antiguos monopolios de
comunicación que mantienen una posición de privilegio hasta 2.005.
3.2.b) Los proveedores de servicios de encaminamiento de señales
En la mayoría de las ocasiones son propiedad de los propios operadores de servicios de
comunicaciones electrónicas.
Proporcionan el enrutamiento de las peticiones de direcciones IP a los usuarios,
conectándolas con las páginas web y con el resto de contenidos.
Su cita es obligada por cuanto sus instalaciones constituyen nodos de comunicaciones en
las que se pueden instalar los dispositivos de vigilancia electrónica global, permitiendo la
interceptación de todas las comunicaciones que transcurrieran por dicho punto de la red.
Por dicha razón se hallan obligados a prestar las condiciones de seguridad y
confidencialidad de las comunicaciones a que aluden los arts. 4 y 5 de la Directiva de
Telecomunicaciones, de acuerdo al riesgo existente.
3.2.c) Los proveedores de acceso a Internet
Son las empresas que permiten a los usuarios acceder a las redes de comunicación entre
ordenadores, poniendo a su disposición una conexión TCP/ IP a los usuarios.
38
Las redes de comunicaciones electrónicas son definidas en la propuesta de Directiva sobre el marco regulador
para las redes de servicios y comunicaciones electrónicas (art. 2.a)) como « los sistemas de transmisión y,
cuando proceda, los equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de
señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las
redes satelitales, redes terrenales fijas (de conmutación de circuitos y de paquetes, incluyendo Internet) y
móviles, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con
independencia del tipo de información transportada»
39
Propuesta de Directiva relativa al acceso a las redes y servicios de comunicaciones electrónicas.
La prestación de estos servicios se efectúa contractualmente, de modo que por esta vía
obtienen los datos de los abonados (nombre, dirección, datos de pago, equipos, etc).
Como proveedores de acceso, sus equipos se hallan permanentemente conectados a la
red, siendo los encargados de proporcionar las direcciones IP a sus usuarios. Las direcciones
pueden ser estáticas, para usuarios que requieren una conexión permanente, o dinámicas –los
usuarios domésticos– que varían de sesión a sesión. Suelen llevar un registro de las
asignaciones efectuadas, de vital importancia para la determinación de la identidad del autor
de un hecho cometido a través de estos sistemas (mediante la conexión entre los datos de
tráfico, los datos IP, los datos de línea telefónica o de red y los datos de abonado).
En la mayoría de las ocasiones prestan, a su vez, otros servicios de contenidos, tales
como portales, motores de búsqueda o alojamiento de contenidos de sus usuarios. Como tales,
se verán sometidos no a las normas de comunicaciones electrónicas, sino a la de protección de
datos genérica y a la de servicios de sociedad de la información en cuanto a dichas
operaciones específicas.
3.2.d) Los proveedores de servicios Internet
Son personas físicas o jurídicas que disponen de una conexión TCP/IP permanente,
arrendada a un proveedor de acceso a Internet, lo que les permite ofrecer servicios de
hospedaje o de «anfitrión» a usuarios que hacen disponibles contenidos multimedia a otros
usuarios en forma de páginas web, listas de correo electrónico o chats (salas de comunicación
en tiempo real).
El alojamiento de los contenidos en sus máquinas les permite elaborar perfiles de
comportamiento con los datos de navegación de los usuarios que acceden a ellos,
proporcionándole una base de datos personales interesante para fines de prospectiva
comercial. El conocimiento de dichos datos puede permitir reconstruir lo visto o examinado
por el usuario que ha accedido a determinada página.
Iguales conclusiones cabe extraer de los que ofrecen servicios de portal, así como motores
de búsqueda.
En el primer caso el autor del portal presenta, de forma ordenada, una serie de enlaces
hipertexto (links) a otros contenidos de la Red. Puede, asimismo, incluir contenidos propios
(noticias, foros) y otros servicios (disponibilidad al usuario de cuentas de correo electrónico
gratis, etc). Los tratamientos de datos que pueden efectuar son los mismos que los alojadores
de páginas web.
En cuanto a los segundos, ponen a disposición del usuario bases de datos de enlaces
hipertexto recabados de la red mediante programas de búsqueda e indexación (arañas) de
determinadas palabras clave (tags) contenidas en el código de las cabeceras de las páginas
web. El empleo del mismo protocolo http en los tres casos estudiados sirve para hacer la
misma reflexión sobre los posibles tratamientos de datos personales que pueden desarrollar.
3.3. Las empresas de servicios de valor añadido
De los variados servicios de información que surgen al hilo de las nuevas posibilidades
de tratamiento de la información pueden destacarse los ofrecidos por empresas que recaban
datos de comportamiento de los usuarios, recabados de los servidores de acceso, de servicios
Internet, de motores de búsqueda o de portales, que posteriormente analizan mediante
sofisticados sistemas de minería de datos (conocidos también como datawarehouse) en
búsqueda de patrones de comportamiento. Los resultados son ofrecidos nuevamente a quienes
mantienen los sitios web con vistas a permitirles conocer el perfil de comportamiento de sus
usuarios, a fin de personalizar los productos e informaciones que les pueden ofrecer.
Su actividad la desarrollan mediante el envío de ficheros de texto denominados cookies,

que se instalan en los ordenadores de los usuarios, y que pueden ser leídos por dichas
empresas cada vez que el usuario entra en la página controlada. Muchas de las cookies pueden
asignar un número único de usuario, de forma que pueden soslayar la variación de dirección
IP dinámica de su conexión, haciéndolo identificable ante la empresa de tratamiento.
Dentro de los servicios de comunicaciones electrónicas distintos a Internet puede también
señalarse el caso de las empresas que prestan servicios de localización de personas u objetos
(aviones, vehículos, naves) mediante el sistema GPS (Global Position System). Estos
procedimientos son empleados con mayor utilidad en el mercado del transporte, bien como
sistema de navegación, bien como sistema de alarma y asistencia en caso de emergencia.
3.4. Las autoridades públicas
Varias son las autoridades públicas que pueden tener relación con las comunicaciones
electrónicas efectuadas por un ciudadano.
Los tratamientos de datos personales posibles apuntan directamente a la actividad
interventora de las autoridades nacionales de protección de datos, aludidas en el art. 28 de la
DPD 40.
Las autoridades de control asumen funciones de control de los tratamientos de datos
personales efectuadas por los operadores y prestadores de servicio de comunicaciones
electrónicas. Así, el art. 69 del RD 1736/1998, de 31 de julio, que regula el Titulo III de la
LGT, previene en su apartado 3.3 la obligación de suministrar a la Agencia copia de las
comunicaciones que los operadores han de remitir a sus abonados a fin de informarles de
determinadas operaciones de tratamiento y de las opciones que le corresponden con respecto a
las mismas.
Las autoridades nacionales conforman el Grupo de Protección de las Personas, a que
alude el art. 29 de la DPD. Su misión es asesorar a la Comisión sobre los aspectos de la
política de protección de datos en los sectores afectados. Como tal, emite Recomendaciones y
Dictámenes que orientan la labor del legislador y de las industrias y demás implicados en el
mercado.
Especial relevancia tienen las Fuerzas y Cuerpos de Seguridad cuando hablamos de la
intervención de las comunicaciones 41.
El art. 22 de la LOPDP, ya citado con anterioridad, establece:
1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de
carácter personal que, por haberse recogido para fines administrativos, deban ser objeto
de registro permanente, estarán sujetos al régimen general de la presente Ley.
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las
Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están
limitados a aquellos supuestos y categorías de datos que resulten necesarios para la
prevención de un peligro real para la seguridad pública o para la represión de infracciones
40
La Agencia de Protección de datos es la encargada de ejercer dichas facultades de control. A ella se dedica el
Título VI de la LOPDP, siendo regulada por el RD 428/1993.
41
Sobre el régimen de acceso policial, así como la problemática de los ficheros de datos personales en relación
con las investigaciones penales, HERNÁNDEZ GUERRERO, Francisco J. y ÁLVAREZ DE LOS RÍOS, José
Luis, «Protección constitucional, administrativa y penal del derecho a la intimidad», en Estudios Jurídicos del
Ministerio Fiscal III, Madrid 1.997; y «Medios informáticos y proceso penal», en Estudios Jurídicos del
Ministerio Fiscal IV, Madrid 1.999, págs. 471-601.
penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que

deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que
hacen referencia los apartados 2 y 3 del art. 7, podrán realizarse exclusivamente en los
supuestos en que sea absolutamente necesario para los fines de una investigación
concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la
obligación de resolver las pretensiones formuladas en su caso por los interesados que
corresponden a los órganos jurisdiccionales.
4. Los datos personales registrados con fines policiales se cancelarán cuando no sean
necesarios para las averiguaciones que motivaron su almacenamiento.
A estos efectos, se considerará especialmente la edad del afectado y el carácter de los
datos almacenados, la necesidad de mantener los datos hasta la conclusión de una
investigación o procedimiento concreto, la resolución judicial firme, en especial la
absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.»
Por propia autoridad tienen acceso a cualquier tipo de datos personales. De dicha facultad
no quedan excluidos ni los datos sensibles, esto es, aquellos que hacen referencia a la salud,
vida sexual, ideología o afiliación sindical, religión o creencias, así como la comisión de
infracciones penales o administrativas (art. 7.2 y 3), quedando únicamente sometidos a las
condiciones de tratamiento aquí expresadas. Quiere ello decir que, aunque consideráramos
determinados datos personales asociados a las comunicaciones como datos sensibles, de
acuerdo con el art. 22.3 podrían ser tratados legalmente 42sin requerir la previa autorización
judicial
La naturaleza de los datos personales relacionados con las comunicaciones electrónicas
será analizada a continuación. En cuanto es preciso podemos anticipar que los datos de
tráfico, contenidos en la misma comunicación por cuanto son necesarios para su desarrollo, se
verán amparados por el mismo régimen de protección de las comunicaciones privadas,
requiriendo por tanto autorización judicial para su interceptación, observación y tratamiento.
El resto de datos relativos a las comunicaciones (números de abonado, domicilio, datos
insertos en las guías públicas, datos de facturación) deberán considerarse datos personales
ordinarios, sometidos al régimen de acceso que prevé la LOPDP.
En cuanto al acceso a los contenidos y datos relacionados con las comunicaciones
electrónicas de los órganos judiciales y del Ministerio Fiscal, baste ahora con señalar que la
LOPDP (art. 11.2.d)) prevé el acceso a datos de cualquier naturaleza a estos órganos cuando
actúen en el ejercicio de sus competencias. Estas vendrán delimitadas por las leyes de
procedimiento penal y por el Estatuto Orgánico del Ministerio Fiscal (arts. 3 a 5), que serán
analizadas al tratar, en la segunda parte, el régimen de acceso a dichos datos.
Obviamente, el acceso a las comunicaciones en sí –así como a los datos de tráfico
generados por dichas comunicaciones– sólo será autorizado judicialmente, de acuerdo con la
previsión constitucional del art. 18.3 y el art. 579.3 LECr.
42
Debe recordarse que la LOPDP entiende por tratamiento las «operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.» (art. 3.c.)
4. LOS OBJETOS DE PROTECCIÓN
4.1. De las telecomunicaciones a las comunicaciones electrónicas

Hasta la incorporación de las nuevas tecnologías de la información al mercado de las
telecomunicaciones, los servicios de comunicaciones conocidos sólo estaban constituidos por
la correspondencia postal, la telefónica por cable de cobre, y la telegráfica.
La incorporación de la informática y la digitalización a las comunicaciones dio lugar al
fenómeno ya varias veces citado de la «convergencia de las comunicaciones». Por este
término se ha de entender el proceso tecnológico en cuya virtud las señales de comunicación
se unifican como medio de transporte de contenidos que, al ser digitalizados, permiten un
tratamiento técnico homogéneo. Convertido un texto, la voz o las imágenes en ceros y unos
(base matemática del procesamiento de información por la informática), es indistinto el
mecanismo empleado y la conexión y red utilizado como transmisor. Ello permite hablar de
«comunicaciones electrónicas» más que de telecomunicaciones, pues es lo electrónico –lo
atinente a la forma de realizarse la telecomunicación– lo determinante, más que la distancia
salvada con las comunicaciones –que constituiría el motivo de su empleo–.
Las telecomunicaciones eran definidas en el Anexo de definiciones de la LGT como «toda
transmisión, emisión o recepción de signos, señales, escritos, imágenes, sonidos o
informaciones de cualquier naturaleza por hilo, radio electricidad, medios ópticos u otros
sistemas electromagnéticos». En tanto que los servicios de comunicaciones electrónicas lo
son, en la propuesta de Directiva sobre el marco regulador para las redes y servicios de
comunicaciones electrónicas como «el prestado contra remuneración que consiste, en su
totalidad o principalmente, en la transmisión y encaminamiento de señales a través de redes
de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y
servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios
que suministren contenidos transmitidos mediante el uso de redes y servicios de
comunicaciones electrónicas o ejerzan control editorial sobre ellos» 43.
La digitalización e informatización de las comunicaciones electrónicas obliga a realizar
tratamientos automatizados de datos personales. Tanto para la gestión de dichos servicios
(datos de abonados, número asignado, cuentas corrientes, domicilio, equipos instalados) como
para la propia realización de las conexiones (cabeceras de mensaje, datos de tráfico) y su
posterior facturación y abono (datos de facturación), el recurso al tratamiento de información
personal es inexcusable.
Algunos de los datos tratados son generados, por mor de la aplicación de las tecnologías
de comunicaciones electrónicas 44, durante la transmisión o realización de la comunicación.
Otros son tratados antes o después de dichas conexiones, siendo algunos de ellos (los datos de
facturación) derivados de los datos de tráfico. Estamos hablando, por ello, de datos
43
La Directiva 97/66/CE, de forma más sucinta, los definía como «servicio cuya prestación consiste, total o
parcialmente en la transmisión y el envío de señales a través de redes de telecomunicaciones, excepción hecha de
la radiodifusión sonora».
44
La utilización anteriormente citada del protocolo IP, que implica la asignación de números de identificación de
los usuarios. O las cabeceras de algunos protocolos empleados para correo electrónico (POP3 y SMTP), que
incluyen la referencia al contenido del mensaje, redactada por el propio remitente.
personales de distinta sensibilidad 45, que pueden quedar sometidos a regímenes jurídicas e
instrumentos legales de protección diferentes, con la consiguiente diferenciación del régimen
de intervención por causa de una investigación penal.
Por ello, se hace preciso diferenciar entre los posibles contenidos propios y asociados de
una comunicación electrónica, tanto desde el punto de vista de la protección de la
confidencialidad de las comunicaciones como del de la protección de datos personales.
4.2. El contenido de las comunicaciones
Hemos comprobado cómo la comunicación no ha de circunscribiese, en el nuevo entorno,
a las comunicaciones telefónicas. De acuerdo con la definición de telecomunicaciones de la
legislación española, el contenido puede consistir en «signos, señales, escritos, imágenes,
sonidos o informaciones de cualquier naturaleza».
Dentro del contenido de las comunicaciones, el TEDH ha venido incluyendo
pacíficamente la identificación subjetiva de las partes intervinientes en ellas. Así lo efectuó
en el Caso Malone (1.984), donde consideró que el registro que por legítimos fines
comerciales verifica el titular del servicio mediante un contador de los números que han sido
marcados desde un determinado aparato suministra una información de la que no se puede
hacer uso sin la previa autorización del afectado. Por tanto, su cesión a la Policía entra en
clara oposición del art. 8 del CEDH, en relación al respeto a la vida privada.
Una referencia similar fue efectuada por el Tribunal Constitucional (TC) en la STC
114/1994, de 29 de noviembre (F.J. 7º).
La Fiscalía General del Estado se ha pronunciado en los mismos términos en la Consulta
1/1999, de 20 de enero, relativa al tratamiento automatizados de datos personales en el ámbito
de las telecomunicaciones 46.
Pero, además, el empleo de las tecnología informática ha dado lugar a que, al tiempo de
realizarse la comunicación, los sistemas y redes se transmiten datos de tráfico que, en el caso
de Internet, pueden referir o permitir la identificación de los contenidos visitados. Por ello,
dentro del concepto de contenido de las comunicaciones han de entenderse incluidos los datos
de tráfico a los que a continuación nos referiremos.
4.3. Los datos personales asociados a las comunicaciones electrónicas
4.3.a) Los datos de tráfico
La diversidad de servicios de comunicaciones electrónicas que pueden mantenerse a
través de las mismas redes obliga a distinguir, dentro de esta categoría, diversos tipos de datos
de tráfico.
Estos pueden definirse, de acuerdo con el art. 2.1.b) de la propuesta de Directiva sobre
tratamiento de datos personales y protección de la intimidad en el sector de las
45
El Grupo de Protección de las Personas del art. 29 de la Directiva 95/46/CE considera incluso que puede que
algunos de estos datos deban ser considerados «sensibles», tal y como se entiende este concepto en la legislación
de protección de datos personales, que los somete a un régimen absolutamente estricto de tratamiento, basado
fundamentalmente en el consentimiento escrito y específico del interesado (tratamientos específicos de datos
personales; arts. 8 y 9 Directiva 95/46/CE y 7 LOPDP).
46 «Desde esta perspectiva es claro que inviolable no sólo es el mensaje, sino todos aquellos datos relativos a la comunicación que permitan identificar a los interlocutores o
corresponsales, o constatar la existencia misma de la comunicación, su data, duración y todas las demás circunstancias concurrentes útiles para ubicar en el espacio y en el
tiempo el hecho concreto de la conexión telemática producida.»
comunicaciones electrónicas, como «cualquier dato tratado en el curso de o a efectos de la

transmisión de una comunicación a través de una red de comunicaciones electrónicas» 47.
Por su parte, el borrador 25 del Convenio sobre el Cibercrimen, de 22 de diciembre de
2000, los define en el art. 1.d) como «cualquier dato informático relativo a comunicaciones
por medio de un sistema informático, generado por el sistema informático que forma parte de
la cadena de comunicación, indicando su origen, destino, vía o ruta, hora, fecha, tamaño,
duración o tipo de servicio [o red] subyacente». Los datos informáticos son definidos en el
apartado b) como «cualquier representación de hechos, información o conceptos en una forma
susceptible de procesamiento por un sistema informático, incluido un programa susceptible de
ordenar a un sistema informática a ejecutar una función».
De estas definiciones, especialmente de la ofrecida por el borrador sobre el Convenio
sobre el Cibercrimen (BCCyb) se desprende no sólo el contenido natural de esta información,
sino la dependencia funcional («tratado en el curso de o a efectos de la transmisión de una
comunicación») y temporal con la comunicación («que forma parte de la cadena de
comunicación»). Esto permite extraer dos conclusiones:
Que los datos de tráfico forman parte del contenido de la comunicación;
Que sólo son considerados datos de tráfico los necesarios para la efectiva
transmisión de la comunicación.
La última de las conclusiones quiere decir que es posible la utilización de algunos datos
de tráfico para otros fines, fundamentalmente los de facturación; pero en este caso su estatus
jurídico podría variar, quedando amparados no ya en el secreto de las comunicaciones (dado
que la comunicación ha concluido) sino en el derecho a la protección de los datos personales
asociados a las mismas 48. La protección del secreto de las comunicaciones impide cualquier
supervisión por tercero 49, salvo consentimiento del interesado o previsión legal que cumpla
los requisitos previstos en el art. 8.2 del CEDH. En cambio, el tratamiento automatizado de
datos no excluye el conocimiento de algún dato relevante de la comunicación mantenida (v.g.
el número del abonado al que se llama), si existe una previsión legal o consentimiento expreso
o tácito del interesado. En ambos casos, las exigencias en garantía legalmente previstas son
menores que en el caso del secreto de las comunicaciones 50.
También son destacables, en el nuevo entorno de las comunicaciones electrónicas, los datos
de localización geográfica empleados por la telefonía móvil y por los servicios de valor
47
La actual Directiva 97/66/CE se refiere a ellos sin definirlos en el art. 6 (Tráfico y facturación), así como en su
Anexo, en el que ofrece una lista de los que pueden ser tratados a efectos de facturación y pago de
interconexiones.
48
Las implicaciones en materia de investigación penal son indudables. En tanto que no puede accederse al
contenido de una comunicación sino mediante resolución judicial motivada (art. 579.3 LECr) el acceso a los
datos personales con fines de investigación de un peligro concreto a la seguridad pública o para la represión de
hechos penales es dado a las Fuerzas y Cuerpos de Seguridad por el art. 22.2 a 4 LOPDP sin necesidad de dicha
autorización judicial.
49
En la LGT se prevé en el art. 51 que las interceptaciones de contenido por motivos técnicos exigirán, incluso,
autorización legal de acuerdo con el art. 579 LECr, y la adaptación en el diseño industrial de los aparatos
empleados para evitar, en la medida de lo posible, dicho resultado.
50
Así, tanto la Directiva 97/66/CE (y su versión renovada) como la LGT prevén el tratamiento para fines de
facturación y para fines de promoción comercial de productos de comunicación de la empresa. En la propuesta
de directiva sobre tratamiento de datos en relación con las comunicaciones electrónicas, el tratamiento es
admitido también para la prestación de servicios de valor añadido (art. 6.3).
añadido tales como los servicios de emergencia que requieren una localización precisa de la
víctima 51.
Los datos de localización son necesarios en la telefonía móvil para ubicarlo en el radio de
acción de una antena de transmisión. La localización es por ello, imprecisa, dependiendo
precisamente de dicho radio de acción.
En cambio, en los servicios de valor añadido (servicios de localización o alarma GPS –
Global Position System–) la localización constituye un elemento esencial, siendo fijada con
absoluta precisión. El grave atentado que ello puede suponer a la intimidad del individuo hace
que se adopten medidas especiales de garantía, como son la necesidad de previo y expreso
consentimiento del interesado, la limitación del tratamiento a lo estrictamente imprescindible
(y sometido a un plazo igualmente perentorio para el cumplimiento de la finalidad del
servicio), y la posibilidad de rehusar la localización llamada por llamada, aunque merme la
calidad y disponibilidad de las prestaciones contratadas 52.
La proliferación de intercambios de información, e incluso de comunicaciones bilaterales
en tiempo real a través de Internet 53 hace que también deba tenerse en consideración las
actividades de navegación por Internet como posible contenido de las comunicaciones
electrónicas. Al respecto, tanto el Consejo de Europa como las instituciones especializadas en
protección de datos coinciden de forma unánime en declarar el sometimiento de las
actividades de Internet al marco regulador previsto para la protección del secreto y
confidencialidad de las comunicaciones, así como para la protección de los datos personales
asociados a ellas. 54.
Los datos de navegación, consistentes en las huellas que el usuario va dejando por la
configuración técnica del protocolo de navegación Internet HTTP pueden indicar los
contenidos visitados. La posesión de dichos datos puede permitir la reconstrucción de los
contenidos efectivamente visitados, pudiendo obtenerse un perfil del comportamiento del
afectado. Por ello, el Grupo de Protección de las Personas considera los datos de navegación,
o datos de comportamiento Internet como datos de tráfico, sometidos a las mismas garantías
51
La Orden de 14 de octubre de 1.999 sobre condiciones de suministro de información relevante para la
prestación del servicio de atención de llamadas de urgencia a través del número 112 establece este dato de entre
los que los operadores de redes de comunicaciones han de poner a disposición del centro de atención de
emergencias.
52
Piénsese en los servicios de navegación por satélite instalados en los vehículos de alta gama, que incluso
pueden incluir la prestación de emitir una llamada localizadora de urgencia en caso de accidente.
53
Un ordenador personal dotado de un módem y una tarjeta de sonido permite mantener conversaciones
telefónicas, o el intercambio de mensajes en tiempo real (chats, ICQ, mensajería Internet...), que en nada se
diferencian de los medios tradicionales de comunicación telefónica o radiofónica.
54
El Consejo de Europa se ha pronunciado de esta forma en su Recomendación R(99)5, sobre la protección de la
intimidad en Internet: «Reconociendo que la recogida, el tratamiento, y, sobre todo, la comunicación de datos de
carácter personal a través de las nuevas tecnologías de la información, en concreto de las "autopistas de la
información", están regidas por las disposiciones del Convenio para la protección de personas respecto al
tratamiento automatizado de datos de carácter personal (Estrasburgo, 1981, Serie de Tratados Europeos número
108) y por las recomendaciones sectoriales relativas a la protección de datos.»
Por su parte, el Grupo de Protección de las Personas del art. 29 ha mantenido la misma opinión de forma
expresa o tácita en su Dictámenes y Recomendaciones sobre la materia: Dictamen 7/2000, de 2 de noviembre,
sobre la propuesta de la Comisión Europea de Directiva del Parlamento Europeo y del Consejo relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (pág. 5). En su Documento de Trabajo 5063/00/ES/FINAL WP37, «Privacidad en Internet: Enfoque
comunitario integrado de la protección de datos en línea», de 21 de noviembre de 2000, lo manifiesta con total
claridad (págs. 23-24)
de confidencialidad y secreto de comunicaciones que los propios contenidos 55, debiendo por
ello ser destruidos una vez terminada la conexión a la red, de acuerdo con el art. 6 de la
Directiva 67/66/CE y de la propuesta de Directiva sobre protección de datos en el sector de
las comunicaciones electrónicas.
4.3.b) Los datos de facturación
Los datos de tráfico sirven, como se ha indicado, para la realización de un fin legítimo del
operador de redes o del prestador de servicios, cual es el de permitir la reclamación de su
precio. En esta consideración, su tratamiento es admisible de acuerdo con el principio
genérico de licitud del tratamiento previsto en el art. 7.f) de la DPD 56.
En tal sentido, el art. 6 de las Directivas 97/66/CE y de la propuesta de Directiva
establecen dicha posibilidad sometido a determinadas condiciones de tratamiento:
Sólo podrán tratarse determinados datos (los relativos a fecha, duración, número de
unidades facturables, línea llamante y línea o número de abonado al que se llama) 57.
Los datos podrán mantenerse exclusivamente durante el tiempo necesario para la
reclamación de su importe por el operador, o la impugnación de éste por el abonado 58
Sólo podrán ser tratados por el personal de los operadores encargado de la facturación,
de la prestación técnica del servicio o de la comercialización de otros productos –
previo consentimiento del interesado– en la cantidad imprescindible.
55
Grupo de Protección de las Personas, «Privacidad en Internet», págs. 55-56.
56
Artículo 7 Directiva 95/46/CE:
«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el
tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y
libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la
presente Directiva.»
57
Esta regulación es recogida en el RD 1736/1998, de 31 de julio, art. 65:
1. Los operadores deberán destruir los datos de carácter personal sobre el tráfico relacionados con los usuarios
y los abonados que hayan sido tratados y almacenados para establecer una comunicación, en cuanto termine la
misma, sin perjuicio de lo dispuesto en los apartados siguientes.
2. Podrán ser tratados por los operadores, exclusivamente con objeto de realizar la facturación y los pagos de
las interconexiones, los datos a los que se refiere el apartado anterior que incluyan:
a) El número o la identificación del abonado.
b) La dirección del abonado y el tipo de equipo terminal empleado para las llamadas.
c) El número total de unidades que deben facturarse durante el ejercicio contable.
d) El número del abonado que recibe la llamada.
e) El tipo, la hora de comienzo y la duración de las llamadas realizadas o el volumen de datos transmitidos.
f) La fecha de la llamada o del servicio.
g) Otros datos relativos a los pagos, tales como pago anticipado, pagos a plazos,
desconexión y notificaciones de recibos pendientes.»
Estos datos podrán tratarse y almacenarse únicamente por el plazo durante el cual pueda impugnarse la factura
o exigirse el pago, de conformidad con la legislación aplicable. Transcurrido dicho plazo, los operadores deberán
destruir los datos de carácter personal, en los términos del apartado 1 de este artículo»
58
El Grupo de Protección de las Personas emitió la Recomendación 3/1999 sobre la conservación de los datos de
tráfico por los proveedores de servicio Internet a efectos del cumplimiento de la legislación, donde entre otras
consideraciones de interés, abogó por la armonización del plazo de mantenimiento a estos propósitos de
reclamación o impugnación en tres meses.
Como puede apreciarse, los datos de facturación no son sino parte de los datos generados
en una comunicación (datos de tráfico) cuyo almacenamiento y posterior tratamiento es
autorizado para la satisfacción de unos fines legítimos.
Entendemos que dichos datos, una vez concluida la comunicación, son datos personales
sometidos a la normativa de protección de datos personales, entre cuyas normas se hallan las
que permiten el acceso policial y de las autoridades judiciales y fiscales en el ejercicio de sus
competencias (arts. 22.2 y 11.2.d) LOPDP, respectivamente).
Sí cabe plantearse si constituyen algunos de ellos, esencialmente el número del abonado
al que se llama 59, «datos sensibles», en el sentido indicado por el art. 7 LOPDP 60.
Tanto el art. 1 de la DPD como de la LOPDP aluden a la protección de las libertades
fundamentales y de los derechos fundamentales de las personas físicas, y en particular, del
derecho a la intimidad en lo que respecta al tratamiento de datos personales. Si las
comunicaciones electrónicas, protegidas per se con una garantía constitucional autónoma y
con legislación sectorial específica (la Directiva de Telecomunicaciones y la LGT), requieren
tratamientos de datos, qué duda cabe de que habrían de gozar de una consideración analógica
a la de los datos relativos a materias protegidas por el derecho a la libertad ideológica y de
creencias (art. 16 CE). Los tratamientos de datos son objeto de protección en cuanto que,
mediante ellos, puede producirse una lesión de una libertad fundamental. Y esto justificaría
que los datos relacionados directamente con dichos derechos fundamentales ostentaran la
condición de «sensibles», requiriendo por ello un consentimiento expreso y por escrito que
autorice su tratamiento.
59
Lo que es extensible a la dirección IP del equipo desde el que se llama, mantenido en los registros que llevan
los proveedores de acceso a Internet, similar en finalidad al registro de facturación, o a las direcciones de correo
electrónico a las que se remiten mensajes.
60
Art. 7 LOPDP:
«1. De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a
declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente,
se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de
carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros
mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones,
fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en
cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará
siempre el previo consentimiento del afectado.
3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán
ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado
consienta expresamente.
4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal
que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán
ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las
respectivas normas reguladoras.
6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter
personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la
prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario
sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento
sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado
esté física o jurídicamente incapacitado para dar su consentimiento.»
No obstante, si analizamos la legislación relativa a los datos de facturación incluida en la

Directiva de Telecomunicaciones (tanto en su versión actual como en la propuesta de
reforma), así como la legislación sectorial 61, apreciaremos que el consentimiento requerido
para tratar dichos datos no es el expreso y por escrito que reclama el art. 7 de la LOPDP para
tratar datos sensibles. A la hora de requerir el consentimiento para el tratamiento de dichos
datos con fines de promoción comercial de servicios del operador de comunicaciones, el art.
65.3 del RD 1736/1998 opta por la modalidad del consentimiento tácito 62. Tampoco la
Directiva de Telecomunicaciones requiere condiciones para el consentimiento, exigiendo sólo
que se preste previamente (art. 6.2).
Por ello, parece estimable considerar los datos de facturación, incluida la referencia a los
números llamados, como datos ordinarios, sometidos por ello al régimen de cesión previsto en
el art. 11 de la LOPDP, sin que para ello se requiera autorización judicial.
4.3.c) Los datos de suscripción
Esta clase de datos es la información personal recabada del abonado a la hora de suscribir
el contrato de prestación de servicios de comunicación. Constituyen datos normales
únicamente sometidos a la legislación genérica de protección de datos personales y no a la
específica de datos personales relacionados con las telecomunicaciones.
Podemos encontrar una definición y descripción de su contenido en el art. 18 del BCCyb,
que incluye su definición a la hora de hablar de las «production orders» o mandamientos de
realización o ejecución.
El precepto los describe, a los efectos de dicho apartado, como «cualquier información
contenida en formato informático o en cualquier otra forma, que es mantenida por el
proveedor de servicios, relativa a usuarios de sus servicios, distintos de los de tráfico o de
contenido, por los que puede establecerse:
el tipo de servicio de comunicación usado, las previsiones técnicas adoptadas para
ello y el período de servicio;
la identidad del usuario, dirección postal o geográfica, teléfono u otro número de
acceso, información sobre cuentas corrientes y pago, disponible sobre la base de
un contrato de servicio o acuerdo;
cualquier otra información sobre el lugar de instalación del equipo de
comunicaciones disponible sobre la base del contrato de servicios o de un
acuerdo»
La Memoria del Borrador dedica sus parágrafos 154 a 167 al análisis de las órdenes o
mandamientos ejecutivos.
61
RD 1736/1998, de 31 de julio, que establece el Reglamento de Desarrollo del Título III de la LGT, relativo a
los derechos del usuario y a las obligaciones de servicio universal de telecomunicaciones, y a las obligaciones de
servicio público.
62
Art. 65.3 RD 1736/1998, de 31 de julio:
«Asimismo, los operadores podrán tratar los datos a los que se refiere el apartado anterior para la promoción
comercial de sus propios servicios de telecomunicaciones, siempre y cuando el abonado haya dado su
consentimiento previo. A estos efectos, los operadores deberán dirigirse a los abonados, al menos, con un mes de
antelación al inicio de la promoción, requiriendo su consentimiento que, de producirse, será válido hasta que los
abonados lo dejen sin efecto de modo expreso. Si en el plazo de un mes desde que el abonado reciba la solicitud,
éste no se hubiese pronunciado al respecto, se entenderá que consiente, sin perjuicio de lo dispuesto en la
disposición transitoria séptima.»
El acceso a esta información se haría posible, de aprobarse el Borrador, siempre que la

misma se hallara en poder o bajo control del proveedor, sin que obligue a recabarla de los
servicios que preste de forma más o menos anónima 63.
Esta información, sobre todo la relativa a las condiciones y ubicación de los equipos de
comunicación, puede permitir a las autoridades policiales desarrollar las actividades de
vigilancia electrónica adecuadas, previa solicitud de la autorización judicial que
correspondiera al tipo de servicio de comunicación electrónica de que se tratara. La de
naturaleza económica, como señala el párrafo 162, es útil para la realización de
investigaciones relacionadas con delitos de naturaleza económica.
El acceso a este tipo de información estaría fundado, en nuestro Derecho, en el varias
veces citado art. 22.2 y 3 LOPDP, siempre relacionada con actos concretos, sin que sea
posible un acceso masivo para elaborar un banco de datos propio con este tipo de información
para prevenir futuros hechos o amenazas a la seguridad ciudadana.
La aprobación del BCCyb obligará a adaptar nuestra legislación procesal para permitir el
acceso de las autoridades públicas a este tipo de información, tanto para el cumplimiento de
las investigaciones internas como las requeridas en virtud de solicitud de cooperación judicial
internacional. Ello terminará con la problemática actual relativa al acceso de la Policía
Judicial a datos de abonados que éstos han solicitado excluir de las guías telefónicas 64. El
operador dominante, Telefónica S.A., considera que con esta petición los datos dejan de ser
de acceso público y no pueden ser reclamados sino por mandato judicial, algo que no tiene
fundamento legal alguno. Ya hemos visto que los datos de facturación ni siquiera permiten ser
considerados como sensibles, a los efectos de requerirse un mandato judicial para acceder a
ellos. Tanto más cuanto se trata de datos como nombre, apellidos y domicilio del abonado,
que para nada han de implicar la identificación del usuario que ha efectuado una
comunicación concreta. Estimamos que la petición de exclusión de aparición en las guías de
abonados de servicios de comunicaciones no convierte al número de abonado en un dato más
íntimo que el resto de los datos personales, ni por supuesto en dato sensible, por lo que podrá
ser accesible a petición de la Policía Judicial en el curso de una investigación concreta 65.
4.3.d) Los datos relativos a firmas electrónicas
Merece por último hacer alusión a determinados datos relacionados con el empleo de
firmas electrónicas.
Las firmas electrónicas constituyen un método basado en la tecnología de cifrado de
datos que permite asegurar la integridad y la autenticidad de las comunicaciones 66. Ello se
logra mediante el empleo de la criptografía de clave asimétrica, basada en el empleo de dos
claves (cadenas de datos matemáticamente asociadas entre sí, con un razonable resultado de
unicidad y no deducción de la una desde la otra), una pública y otra privada. El mensaje a
63
Piénsese en las conexiones gratuitas a Internet ofrecidas por muchos proveedores de contenidos web, como
portales, motores de búsqueda o incluso medios de comunicación editorial (El País, El Mundo), u operadores
telefónicos (Retevisión, Jazztel o Telefónica).
64
El problema mereció las reflexiones de la Agencia de Protección de Datos en su Memoria de 1.997 (pág. 256),
sin que, desafortunadamente, ofreciera su posición al respecto.
65
Debe considerarse, además, la posibilidad prevenida por la propia ley de que la Policía sí acceda a los datos de
identificación de un titular de firma electrónica –datos relacionados, igualmente, con las comunicaciones
electrónicas– en virtud de la normativa sobre firma digital que a continuación se expondrá.
66
Puede encontrarse un esquema del procedimiento de firma en ORMAZÁBAL SÁNCHEZ, Guillermo, «La
prueba mediante documento digitalmente firmado», en Actualidad Civil nº 8, marginal XI, Madrid 1.999.
firmar es compendiado mediante un algoritmo matemático –de forma que es único para cada
mensaje– , obteniéndose un resumen o hash. Este resultado es combinado con la clave privada
(asociada a la persona del firmante de forma única, de modo que sólo él puede tenerla en su
poder) a través de un programa encriptador, que genera un conjunto de datos asociados al
documento o en conexión con él, que constituye la firma del documento. A la recepción del
mensaje, el destinatario emplea la clave pública correspondiente al remitente (disponible a
través de directorios públicos de consulta) para verificar que el compendio fue generado
empleando la clave privada asociada a dicha clave pública. Una vez realizada esa
comprobación y obtenido el resumen o hash original, el programa de firma la verifica
realizando él mismo nuevamente el compendio del documento (que ya hemos dicho que
siempre es único para un documento) y comprobándolo con el recibido. Sin ambos coinciden,
quedará acreditada la integridad del documento, pues basta cualquier alteración para que el
hash fuera distinto (ya no sería el mismo documento). Verificada la relación entre las claves
pública y privada, quedaría también comprobada la identidad del remitente .
Para verificar que el par de claves pertenece a quien dice ser, determinadas entidades (los
prestadores de servicios de certificación) emiten un «certificado», que acredita dicha relación
matemática, así como la identidad del firmante –que ha tenido que identificarse ante él
mediante un documento identificativo de valor legal–. En dichos certificados puede
emplearse, en vez del nombre, un seudónimo. Ello no implica que no se deba identificar su
titular ante la entidad certificadora; únicamente indicará que el titular preserva su identidad no
incluyendo dicha mención, si bien el proceso de identidad sí se ha verificado legalmente,
pudiendo por tanto confiarse en ésta.
La relación de las firmas electrónicas con las comunicaciones (dado que son empleadas
precisamente como mecanismos de autentificación de las partes en sus comunicaciones),
unido al hecho de que tanto las claves de firma y los certificados constituyen, per se, datos de
carácter personal, suponen un serio riesgo de acceso por terceros, aunque sean de naturaleza
pública, quienes en virtud del citado art. 22.2 LOPDP pueden pedir la identificación del titular
oculto bajo el seudónimo, y en algún caso la propia clave privada de firma –con el peligro de
usurpación de identidad que ello puede suponer–. A pesar de que la Directiva 1999/93/CE,
para evitar este peligro, impide que se almacenen o copien las claves privadas de firma
(también denominadas «datos de creación de firma»), el art. 11.f) del RDLFE permite a los
prestadores de servicios de certificación que las almacenen con consentimiento o petición del
interesado, prohibiendo su almacenamiento o copia como regla general. Esta mención al
consentimiento o petición del titular de la firma contraviene la Directiva 67, como ha sido
puesto de manifiesto por la doctrina 68.
5. LOS INSTRUMENTOS LEGALES DE PROTECCIÓN
En este análisis –capa a capa– del régimen de intervención de las comunicaciones

electrónicas merece especial atención el estudio detallado de los derechos fundamentales que
protegen los objetos relacionados con éstas –los contenidos y los datos personales tratados al
67
No debe olvidarse que el RDLFE se basó en el proyecto de Directiva, y que la precedió en el tiempo; lo que
obliga a adaptarla en la regulación definitiva propuesta por el gobierno para acogerse al dictado final de la norma
comunitaria.
68
MARTÍNEZ NADAL, Apolonia, «Aproximación al borrador de Propuesta de Directiva para un marco común
en materia de firma electrónica y proveedores de servicios relacionados», en Actualidad Informática Aranzadi nº
29, octubre 1.998
hilo de las comunicaciones electrónicas– , considerando para ello el tenor de la regulación

específica.
Como quiera que el régimen de protección del secreto de las comunicaciones por el
Convenio Europeo de Derechos Humanos ha sido objeto de muchos estudios doctrinales de
mayor calado y profundidad que el presente, y nuestra intención se centra más en el nuevo
marco asociado a la informatización de las comunicaciones, no debe confundir al lector
cuando observe una desproporcionada atención a dichos aspectos en detrimento del núcleo de
protección. Nos remitimos a esos estudios doctrinales, de los que extraemos la información
relevante a los efectos de nuestro estudio 69
5.1.El derecho fundamental al secreto de las comunicaciones
5.1.a) Las garantías genéricas de protección de la confidencialidad
Como pone de manifiesto DE LLERA SUÁREZ-BÁRCENA 70, puede diferenciarse
entre unas garantías normativas y unas garantías específicas, radicadas básicamente en el
control judicial de la medida. Dichas medidas se tratarán en el siguiente epígrafe.
Las garantías genéricas de protección del secreto de las comunicaciones vienen
determinadas, conjuntamente, por la Constitución Española y por el CEDH, de directa
aplicación en virtud del art. 10.2 CE.
El autor citado centra la atención en el art. 53.1 CE, que determina que «Sólo por ley, que
en todo caso deberá respetar su contenido esencial, podrá regularse el ejercicio de tales
derechos y libertades, que se tutelarán de acuerdo con lo previsto en el art. 161, 1 a)». La
reserva de ley 71 y el respeto al contenido esencial del derecho, son las garantías genéricas que
prevé nuestra Constitución para la regulación de las injerencias en el secreto de las
comunicaciones.
El contenido esencial del derecho al secreto de las comunicaciones se ve determinado por
la referencia integradora del art. 8 CEDH, así como por la jurisprudencia consolidada del
TEDH en su labor de interpretación de dicho texto. Las garantías previstas por el art. 8.2 son:
«2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino
en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en
una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública,
el bienestar económico del país, la defensa del orden y la prevención del delito, la
protección de la salud o de la moral, o la protección de los derechos y las libertades de los
demás.»
69
Son clásicos los realizados por el magistrado LÓPEZ-BARJA DE QUIROGA, Jacobo, «El Convenio, el
Tribunal Europeo y el derecho a un juicio justo», Madrid, 1.989, págs. 65-89; y «Las escuchas telefónicas y la
prueba ilegalmente obtenida», Madrid, 1.989. Igualmente, LÓPEZ-FRAGOSO ÁLVAREZ, Tomás, «Las
intervenciones telefónicas en el proceso penal», Madrid, 1.991. DE LLERA SUÁREZ-BÁRCENA, Emilio, «La
observación o escucha de las comunicaciones telefónicas: una perspectiva constitucional», en Estudios Jurídicos
del Ministerio Fiscal VI, Madrid 1.997, págs. 461-485. MORENILLA RODRÍGUEZ, J.M., «La jurisprudencia
del Tribunal Europeo de Derechos Humanos», en Cuadernos del CGPJ 11, Madrid, 1.993, págs. 317-329. y
ALONSO PÉREZ, Francisco, «Requisitos de las intervenciones telefónicas», en La Ley nº 5288, 16 de abril de
2001
70
DE LLERA SUÁREZ-BÁRCENA, op.cit. pág. 467
71
Excluyendo con ello la posibilidad de regulación mediante otras fuentes normativas, como el Decreto-Ley (por
virtud de la prohibición del art. 86.1 CE de regular el ejercicio de derechos fundamentales), o normas de rango
reglamentario.
De este precepto, de interpretación esencialmente restrictiva 72, cabe extraer las siguientes
garantías:
La injerencia ha de estar prevista por la ley 73
Esta exigencia requiere que la medida se halle recogida por el derecho interno, no sólo en
una ley, sino en cualquier norma del derecho interno, incluida la jurisprudencia 74.
Ha de ser compatible con la preeminencia del Derecho 75, lo que implica:
o Que los términos de la ley han de ser lo suficientemente claros para que su
texto sea accesible al ciudadano;
o Que los términos deben ser precisos, de modo que con conocimiento,
suficientemente asesorado en su caso, el sujeto pueda acomodar su conducta a
la norma de injerencia 76
Esta calidad de ley tiene que proporcionar seguridad frente a la posible arbitrariedad
en el ejercicio de las medidas por la autoridad pública.
La medida ha de estar basada en alguna de las finalidades previstas en el art. 8.2
o La referencia a la defensa del orden y la prevención del delito son admitidas
por la modificación operada por los Protocolos 4 y 11, si bien antes fue
igualmente admitido por el TEDH 77
o La defensa nacional también constituye una finalidad legítima en una sociedad
democrática. Dicha referencia ha provocado pronunciamientos del TEDH
relativos a regímenes de escuchas secretas, que las ha rechazado
categóricamente 78
o La protección de la seguridad pública ha incluido hasta la reforma de los
Protocolos la prevención de delitos 79
72
Caso Klass.
73
Casos Sunday Times (26/04/1979, par. 46-49); Silver (25/03/1983) y Malone (02/10/1984).
74
A esta posibilidad, expuesta por el TEDH en el Caso Sunday Times para justificar el régimen de Common
Law de los países anglosajones, es a la que se acoge el Tribunal Constitucional para declarar constitucionalmente
válidas las escuchas amparadas en el art. 579 LECr., a pesar de haber sido condenado el Estado Español por
violación de la exigibilidad de ley precisa en el Caso Valenzuela Contreras, en 1.998 (STC 49/1999, y Circular
1/1.999, de la Fiscalía General del Estado, de 23 de diciembre.
75
Circular FGE 1/1999, 23 de diciembre.
76
En el Caso Kruslin (24/04/1990), tal y como refiere la Circular 1/1999, el TEDH exigió la existencia de reglas
claras y detalladas en relación al ejercicio de la intervención, relativas a la categoría de personas que pueden ser
sujetos de las injerencias, el tipo de infracciones que las justifican, los límites de duración de ejercicio, la
realización de resúmenes de su contenido por la autoridad de control, las precauciones procesales a la hora de
incorporarlas al proceso, así como la posterior destrucción del material recogido.
77
Caso Golder (01/02/1975).
78
Como manifestara en el caso Klass (par. 46), «el poder de vigilar en secreto sólo es tolerable en una sociedad
democrática en la medida estrictamente necesaria para la salvaguardia de las instituciones democráticas».
Más contundente, y actual, es el pronunciamiento del Caso Laender (26/03/1987) par. 65: es preciso asegurar
«la existencia de garantías adecuadas y suficientes contra los abusos, pues un sistema de vigilancia secreta
destinado a proteger la seguridad nacional crea un riesgo de socavar, incluso destruir, la democracia por tratar de
protegerla». MORENILLA RODRÍGUEZ, J.M. op. cit. pág. 326, a quien seguimos en este análisis.
79
Caso Campbell (28/03/1992), par. 41.
o La protección del bienestar económico ha sido considerado como una finalidad

autónoma(Caso Gillow), si bien frecuentemente se ha asociado al control y
prefención de actividades delictivas –blanqueo de dinero, tráfico de drogas,
etc–- (Casos Funken, Miailhe y Cremieux).
o La protección de la salud incluye, como refiere MORENILLA, la de los
individuos especialmente necesitados, como es el caso de la infancia 80
o La protección de la moral alude a la defensa de la moral pública, en especial
en relación a personas o categorías de personas que requieren una protección
especial por razones tales como la inmadurez, la debilidad mental o que se
hallen en una situación de dependencia 81
o Por último, la referencia a la protección de las libertades se concatena, como
se manifestó en el caso Dudgeon, con la protección de intereses anteriores.
Por último, la medida ha de ser necesaria y proporcionada en una sociedad
democrática.
o La necesidad viene determinada por la eficacia de la medida de injerencia para
la obtención de uno de los resultados previstos en el art. 8.2.
o La proporcionalidad requiere que sea adoptada únicamente en cuanto sea
preciso para el logro de dichos fines.
o En la apreciación de dicha necesidad y proporcionalidad los tribunales de
Justicia gozan de cierto margen de apreciación, mas no es absoluto, pues,
como se declaró en la Sentencia Silver 82, la necesidad ha de ser imperiosa,
proporcionada al fin perseguido, interpretados restrictivamente 83
5.1.b) El control judicial de la intervención de las comunicaciones
La sistematización ejemplar realizada jurisprudencialmente por el Auto del Tribunal
Supremo de 1.992 ha influido, sin duda, en la también insoslayable Circular 1/1999 FGE, a la
que nos atendremos a la hora de exponer los requisitos a que se someten las medidas de
intervención de comunicaciones electrónicas.
Las medidas de control se refieren a tres momentos diferentes, como recuerda la FGE: la
adopción de la medida, el control de su ejecución y la posterior aportación al proceso. Las
violaciones a las garantías siguientes que afecten a las dos primeras fases supondrán la
nulidad radical de la medida, por cuanto no se ha respetado el contenido esencial del derecho
al secreto de las comunicaciones (STC 49/1999; en tanto que el incumplimiento de las
medidas de control relativas a su aportación al proceso únicamente ocasionarán la nulidad por
vicio in procedendo de dicha prueba, pudiendo su contenido ser aportado al proceso a través
de otros medios de prueba en los que no se halle una «conexión de antijuridicidad» con la
medida anulada (STC 49/1999).
5.1.b.1. Control en la adopción de la medida
La medida ha de ser adoptada en el seno de un proceso penal, lo que impide una
medida de intervención de comunicaciones desconectada de un hecho ilícito en
80
Caso Olsson (24/03/1988), par. 65.
81
Caso Dudgeon (22/10/1981) par. 47.
82
Caso Silver (25/03/1983).
83
Circular 1/1999 FGE.
concreto. Las medidas de intervención de comunicaciones de propósito global (la

denominada «comint» o inteligencia de las comunicaciones) está al margen de la ley
84
.
Debe ser adoptada mediante auto judicial motivado.
Es una exigencia constitucional, que sólo es derogada parcialmente por el art. 579.4
LECr., que autoriza la intervención para la averiguación de delitos relacionados con la
actuación de bandas armadas o elementos terroristas o rebeldes por el Ministro de Interior o el
Director General de la Seguridad del Estado, pero sometido al control judicial a las setenta y
dos horas de su adopción.
No obstante, se autoriza la remisión por referencia al escrito de petición policial de
intervención.
El motivo de esta cautela es permitir conocer los indicios y fundamentos que justifican tal
decisión invasiva en la intimidad personal, limitando de este modo la arbitrariedad en la
interpretación de la necesidad de la medida.
La medida ha de adoptarse sobre la base de la apreciación de indicios delictivos.
No bastan las manifestaciones policiales, sino que se precisan datos objetivos en un doble
sentido: en el de ser accesibles a terceros, sin lo que no sería posible su control; y en el
sentido de proporcionar una base real de la que puede deducirse la comisión o inmediata
comisión de un delito (STC 49/1999, FJ 8º).85
La medida ha de delimitarse subjetivamente.
Han de especificarse las comunicaciones que van a ser objeto de intervención 86, así como
los números de teléfono 87 y las personas a las que afecta la medida, que lógicamente sólo
podrán ser los imputados, frente a los que ya existan indicios de responsabilidad criminal. No
importa que los aparatos o terminales pertenezcan a terceros, o que sean públicos, siempre
que se desprenda de las investigaciones previas que suelen ser empleados por el imputado.
Ha de especificarse objetivamente el alcance de la medida
La resolución judicial ha de precisar el tipo delictivo objeto de investigación, que ha de
revestir especial gravedad.
La gravedad se ponderará no sólo teniendo en consideración la pena prevista para el
delito, sino todas las circunstancias concretar concurrentes (incluida la trascendencia o
84
No obstante, como tendremos ocasión de exponer, las opiniones contrarias al respecto van en aumento,
considerándose hoy día como un hecho la existencia de proyectos tales como ECHELON, SORM o Enfopol,
encaminados a la realización de actividades de vigilancia global de las comunicaciones electrónicas con
propósitos de espionaje industrial o militar.
85
En este requisito se basa también la jurisprudencia y la propia FGE para considerar ajenas al Derecho las
escuchas predelictuales o prospectivas (SSTS 1448/19978, de 24 de noviembre, 1075/1998, de 23 de septiembre,
citadas por la Circular FGE 1/1999).
86
Más correctamente que en el art. 579, el art. 583 LECr determina para la intervención de comunicaciones
postales y telegráficas que «El auto motivado acordando la detención y registro de la correspondencia o la
entrega de copias de telegramas transmitidos determinará la correspondencia que haya de ser detenida o
registrada, o los telegramas cuyas copias hayan de ser entregadas, por medio de la designación de las personas a
cuyo nombre se hubieren expedido, o por otras circunstancias igualmente concretas.»
87
O direcciones IP, o de correo electrónico, en el caso de comunicaciones electrónicas por medio de
ordenadores.
repercusión social: SSTS 467/1998, de 3 de abril; y 622/1998, de 11 de mayo, citadas por la

Circular).
Ha de tener una duración limitada
No está autorizado acordarla por el plazo máximo de tres meses establecido en el art.
579.3, sino que deberá ser adecuado y proporcionado a la investigación en curso.
Las sucesivas prórrogas deberán ser motivadas mediante una resolución propia, sin que
sea suficiente su justificación por referencia a la resolución autorizante originaria.
La motivación ha de contener la evaluación de la proporcionalidad de la medida
adoptada, sopesando su aptitud para alcanzar el objetivo propuesto, la exclusión de otras
medidas menos agresivas con la intimidad personal, y la proporcionalidad del sacrificio que
supone con los derechos e intereses a proteger con su ejecución.
La ejecución se ha de someter a control judicial
5.1.b.2. Control en la ejecución de la medida
En cumplimiento de las garantías establecidas, la regulación integradora efectuada por el
Tribunal Supremo y el Tribunal Constitucional exige el control permanente del órgano
judicial del modo en que se ejecuta la medida. Esta es, precisamente, la única garantía
recogida constitucionalmente en protección del derecho al secreto de las comunicaciones,
como apunta DE LLERA 88.
El control judicial permanente y periódico sobre la ejecución permitirá hacer frente a las
incidencias que se produzcan durante la intervención, las que deberán ser comunicadas
policialmente en cuanto se produzcan. La incidencia más relevante es el hallazgo casual de
indicios de comisión de otros delitos, ordenando la ampliación del objeto investigado –si se
trata de un delitos conexo con el investigado– o la deducción de testimonio para su
conocimiento separado.
5.1.b.3. Control en la incorporación del material recogido al proceso
Una vez concluida la intervención será preciso efectuar una transcripción, bien
directamente, bien por cotejo de la efectuada en sede policial, por el Secretario Judicial; así
como incorporar las cintas originales a la causa, haciéndolas presentes en la vista oral (art.
688.1 LECr), de modo que puedan ser escuchadas directamente en el plenario –lo que
permitiría salvar los vicios in procedendo cometidos en la transcripción–.
La ausencia de petición de audición impedirá a la parte impugnar la falta de contradicción
en la ejecución de la medida.
5.1.c) Su recepción en la legislación sectorial de comunicaciones electrónicas
El derecho al respeto a la vida privada y al secreto de la correspondencia es, lógicamente,
el basamento jurídico sobre el que se fundamentan las normas sobre comunicaciones
electrónicas.
La DT, que no sólo se aplica a los tratamientos de datos personales, sino también a la
protección de la intimidad en el sector, reconoce la confidencialidad de todas las
comunicaciones en el art.5 de la siguiente forma:
«1. Los Estados miembros garantizarán, mediante normas nacionales, la confidencialidad
de las comunicaciones realizadas a través de las redes públicas de telecomunicación y de
los servicios de telecomunicación accesibles al público. En particular, prohibirán la
88
DE LLERA SUÁREZ-BÁRCENA, E, op.cit. pág. 474.
escucha, la grabación, el almacenamiento u otros tipos de interceptación o vigilancia de

las comunicaciones por personas distintas de los usuarios, sin el consentimiento de los
usuarios interesados, salvo cuando esté autorizada legalmente, de conformidad con el
apartado 1 del artículo 14.
2. El apartado 1 no se aplicará a las grabaciones legalmente autorizadas de
comunicaciones en el marco de una práctica comercial lícita destinada a aportar pruebas
de una transacción comercial o de cualquier otra comunicación comercial.»
En nuestro Derecho, el art. 49 LGT abre el capítulo relativo a la protección de la
confidencialidad de las comunicaciones con la referencia a los arts. 18.3 CE y 579 LECr.,
como instrumentos normativos de protección del secreto de las comunicaciones en el ámbito
de las telecomunicaciones.89
La propuesta de DT introduce, en el apartado 2º, la referencia a «los datos sobre tráfico
asociados a ellas», recogiendo así la postura de reconocimiento de la condición de contenido
de la comunicación a dichos tratamientos de datos simultáneos a la comunicación. La
consecuencia legal será la exigibilidad de las mismas autorizaciones que las interceptaciones
de comunicaciones en cualquiera de sus modalidades.
La redacción del nuevo apartado 2º ha merecido las críticas del Grupo de Protección de
las Personas por la imprecisión de sus términos 90. Ya se han examinado los requisitos
reclamados por el art. 8 CEDH al legislador a la hora de imponer restricciones a este derecho
fundamental. Este apartado impone una restricción suplementaria que pudiera ampararse en el
art. 8.2. ; pero no aclara las garantías exigibles. Por ello el Grupo propuso a la Comisión y al
Parlamento Europeo su supresión.
La regla es la confidencialidad y la intervención la excepción. La posibilidad de que se
produzcan intervenciones amparadas en la ley requerirán la adopción de los requisitos
técnicos precisos para hacerlas posible 91. Sin embargo, ello no puede justificar admitir una
merma en las obligaciones de los operadores de red y de servicios de comunicaciones
electrónicas para garantizar este derecho. Antes al contrario, la seguridad debe ser garantizada
y actualizados los dispositivos técnicos de protección frente a los avances en materia de
interceptación de las comunicaciones 92
89
El art. 51 impone, como ya dijimos, las obligaciones de requerir mandamiento judicial cuando la actividad
inspectora y técnica requirieran acceso al contenido de las comunicaciones, así como la necesidad de modificar
las características técnicas de los aparatos que las generen, con vistas a evitarlas en un futuro.
90
Dictamen 7/2000, de 2 de noviembre de 2000, 5042/00/ES7FINAL WP36, pág. 6.
91
La Recomendación 2/1999 , de 3 de mayo, del Grupo de Protección, manifestó su posición en los siguientes
términos:
"los operadores de telecomunicaciones y los proveedores de servicios de telecomunicaciones deben adoptar las
medidas necesarias con el fin de hacer técnicamente difíciles o imposibles, según el estado actual de la técnica,
la interceptación de las telecomunicaciones por instancias no autorizadas por la ley. El grupo destaca a este
respecto que la aplicación de medios eficaces de interceptación de las comunicaciones con fines legítimos,
utilizando precisamente las técnicas más avanzadas, no debe tener por consecuencia reducir el nivel general de
confidencialidad de las comunicaciones y de protección de la intimidad de las personas.
Estas obligaciones toman un sentido particular cuando las telecomunicaciones entre personas situadas en el
territorio de los Estados miembros transiten o puedan transitar por el exterior del territorio europeo, en particular
en la utilización de satélites o de Internet."
92
Ante los rumores e indicios de existencia de medios de vigilancia global de las comunicaciones, aparecen
instrumentos técnicos de protección de las comunicaciones frente a ellos. Un ejemplo es el denominado
«Variable Cyber Coordinates System», también conocido como «Invicta», desarrollado por la empresa
norteamericana Invicta Networks Inc.; este programa cambia cada segundo la dirección IP empleada en la
La protección de la confidencialidad se manifiesta en la imposición a los operadores de

redes y servicios de la obligación de proveer a sus servicios de las medidas de seguridad
precisas. El art. 4 DT previene a este respecto:
«1. El proveedor de un servicio público de telecomunicación deberá adoptar las medidas
técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, de ser
necesario en colaboración con el proveedor de la red pública de telecomunicación por lo
que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste
de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado para el
riesgo existente.
2. En caso de que exista un riesgo concreto de violación de la seguridad de la red, el
proveedor de un servicio público de telecomunicación deberá informar a los abonados
sobre dicho riesgo y sobre las posibles soluciones, incluidos los costes necesarios.»
La propuesta de nueva DT únicamente introduce la referencia a las comunicaciones
electrónicas, en vez de a las telecomunicaciones. Sin embargo, su Considerando 13 alude a la
posibilidad de emplear determinados tipos de soporte lógico o tecnologías de cifrado para
garantizar la confidencialidad; así como a la valoración de la seguridad de acuerdo con el art.
17 DPD 93.
La seguridad se traduce, por tanto, en unas medidas técnicas y organizativas, de una
parte, adecuadas al estado de la tecnología, al coste de las mismas y a su proporción en
relación con los riesgos a prevenir, de modo que se garantice un «nivel de seguridad
adecuado». Pero también en unos deberes de información en caso de producirse situaciones
concretas de riesgo –como puede ser la navegación por Internet y la transmisión de datos
personales o números de tarjetas de pago– .
En el caso de las comunicaciones por Internet, tanto empleando correo electrónico como
servicios web (navegación, empleo de motores de búsqueda, etc), los proveedores de servicio
y de acceso deberían informar a sus usuarios de la posibilidad de emplear mecanismos de
anonimato, así como emplear el menor número de datos personales posibles para establecer la
comunicación. La Recomendación 3/1997 del Grupo de Protección de las Personas sobre
Anonimato en Internet, de 3 de diciembre, llegaba a las siguientes conclusiones en esta
materias:
La capacidad de mantener el anonimato en las comunicaciones es esencial si se quiere
mantener «on-line» la misma protección de la privacidad que se disfruta «off-line»
(cuando se trabaja en el mundo real, no conectado a la red).
comunicación, haciendo casi inexpugnable la interceptación. «Ex-KGB expert unveils new computer shield»
http://www.msnbc.com/news/576522.asp
93
Artículo 17 Directiva 95/46/CE:
Seguridad del tratamiento
«1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas
técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental
o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando
el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de
datos personales.
Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su
aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la
naturaleza de los datos que deban protegerse.»
El anonimato no es apropiado en todas las circunstancias. Debe por ello buscarse un

equilibrio entre los derechos fundamentales y la protección frente al crimen. Las
restricciones legales han de ser proporcionadas y limitadas a lo necesario para proteger
un específico interés en una sociedad democrática.
El envío de un mensaje de correo electrónico, o la navegación pasiva por la web, así
como la compra de la mayoría de los bienes y servicios en Internet debería ser posible
realizarlas de forma anónima.
Son precisos algunos controles de contenidos sobre los foros públicos en línea (news-
groups, chats), pero una obligación general de identificación de toda persona es en
muchos casos desproporcionada e inútil.
Son elementos esenciales para un verdadero anonimato en Internet disponer de medios
anónimos de acceso a Internet (quioscos públicos de acceso a Internet, o tarjetas de
acceso prepago) así como medios anónimos de pago.
La obligación de seguridad impuesta también puede afectar a los fabricantes de equipos y
terminales de comunicaciones electrónicas. El Considerando 22 de la propuesta de nueva DT
se refiere a esta posibilidad 94. El art. 14 de la propuesta modifica en su último apartado el art.
13 DT para incluir la posibilidad de que la Comisión adopte «medidas para garantizar que los
equipos terminales incorporen las salvaguardias necesarias para garantizar la protección de los
datos personales y la intimidad de usuarios y abonados, de conformidad con la Directiva
1999/5/CE y la Decisión 87/95/CEE del Consejo».
5.2. El derecho fundamental a la protección de datos personales
Como venimos afirmando, el hecho de que las nuevas tecnologías de soporte de las
comunicaciones electrónicas empleen tratamientos automatizados de datos, supone la
posibilidad de tomar en consideración una garantía constitucional adicional a la del secreto de
comunicaciones hasta ahora tenida en cuenta.
El derecho constitucional al secreto de las comunicaciones no cubre al titular frente a los
riesgos derivados de la tecnología informática empleada para el desarrollo de las
comunicaciones electrónicas. El secreto de comunicaciones únicamente se refiere al contenido
y a la identidad de las partes en una comunicación frente a interceptaciones de terceros, mas
no permite su protección frente a la propia parte destinataria de la comunicación 95, o con
94
Considerando 22 propuesta nueva DT: «puede resultar necesario adoptar medidas que exijan a los fabricantes
de determinados tipos de equipos utilizados en los servicios de comunicaciones electrónicas que construyan sus
productos de manera que incorporen salvaguardias para garantizar la protección de los datos personales y la
intimidad del usuario y el abonado. La adopción de dichas medidas de conformidad con la Directiva 1999/5/CE
del Parlamento Europeo y del Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos
terminales de telecomunicación y reconocimiento mutuo de su conformidad 7 , garantizará que la introducción de
características técnicas en los equipos de comunicaciones electrónicas, incluido el soporte lógico, para fines de
protección de datos esté armonizada a fin de que sea compatible con la realización del mercado interior.»
95
Si se piensa en una conversación telefónica entre particulares conocidos no se apreciará la relevancia de tales
recelos. Ahora bien, si las líneas telefónicas actuales permiten identificar el número de llamada entrante, y la
llamada se realiza a una empresa de comercio telefónico o de comercio electrónico, puede que la centralita
telefónica permita el tratamiento (almacenamiento, en este caso), del número de llamada entrante. Y que,
mediante un tratamiento informático de «búsqueda inversa» pueda averiguarse la identidad del usuario que llama
desde un número determinado. La disponibilidad de acceso a datos socioeconómicos relativos a la zona desde la
que se origina la llamada (accesible a la empresa por haberla proporcionada el usuario con otros fines, vg.
participación en un concurso público o una oferta promocional) puede proporcionar al empleado que contesta la
llamada un perfil socioeconómico de su presuntamente anónimo requirente; quien, por supuesto, permanecerá
ajeno a esta ventajosa situación de la empresa frente a él.
respecto a los datos que como abonados a un servicio de comunicaciones pueden disponer
terceras personas.
Por ello, el Consejo de Europa se vio en la necesidad de complementar el Convenio de
1950 con un instrumento específico relativo a la protección de la vida privada en relación al
tratamiento automatizado de datos personales –el Convenio 108–, que establecía un catálogo
de principios de tratamiento, de derechos o facultades del interesado, y de instrumentos
institucionales y legales de garantía ante los abusos cometidos en este ámbito.
Este Convenio fue recogido, en la forma que ya ha sido expuesta, en la legislación
comunitaria, y a través de ella, en la de los países miembros de la Comunidad Europea.
El presente apartado se destina al análisis de dichos principios y garantías, tanto de
carácter genérico como específicamente creado para la protección de la información personal
manejada en el ámbito de las comunicaciones electrónicas. No constituye, por tanto, un
estudio del régimen de protección de datos sino en cuanto atañe a las comunicaciones
electrónicas.
5.2.a) Contenido. Principios del tratamiento. Facultades.
5.2.a.1. Contenido
La vinculación del derecho a la protección de datos personales del derecho al respeto de
la vida privada, reconocido por el art. 8 CEDH, no ha de llevar a un desconocimiento de su
naturaleza autónoma como garantía fundamental.
La Carta de Derechos Fundamentales de la Unión Europea ha dado el primer paso en el
ámbito de los convenios internacionales al destacar, dedicando dos preceptos distintos aunque
correlativos, el derecho de protección de datos personales como una garantía autónoma. No
obstante, hay que recordar que no ha sido incorporada a los Tratados constitutivos de la
Comunidad, por lo que únicamente tendrá un valor político y simbólico, de orientación de las
directrices en materia de protección de los derechos y libertades fundamentales en cada
Estado miembro.
En nuestro ordenamiento únicamente constaba una referencia al empleo de la informática
en el art. 18.4 CE, sin que del mismo pudiera desprenderse otra cosa que su carácter
instrumental para la protección de otros derechos fundamentales.
Ha sido el Tribunal Constitucional el que, desde la STC 254/1993, de 18 de agosto (p.
González Regueral), ha reconocido ese carácter autónomo de derecho fundamental de
naturaleza instrumental 96.
El contenido de dicha garantía es sintetizado por el intérprete constitucional en la STC
292/2000 de 30 noviembre (p. González Campos):
«La garantía de la vida privada de la persona y de su reputación poseen hoy una
dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad
(art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la
propia persona. La llamada «libertad informática» es así derecho a controlar el uso de los
mismos datos insertos en un programa informático (habeas data) y comprende, entre
otros aspectos, la oposición del ciudadano a que determinados datos personales sean
96
STC 254/1993:«En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente
el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el
derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de
un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama "la informática"»
utilizados para fines distintos de aquél legítimo que justificó su obtención (TC SS
11/1998 FJ 5, 94/1998 FJ 4).
Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad
del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección
constitucional de la vida privada personal y familiar, atribuye a su titular un haz de
facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la
realización u omisión de determinados comportamientos cuya concreta regulación debe
establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la
informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1
CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho
fundamental a la protección de datos respecto de aquel derecho fundamental tan afín
como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por
consiguiente, que también su objeto y contenido difieran.»
Para este fin, la ley establece un conjunto de principios, condiciones y derechos que se
estudiarán a continuación.
5.2.a.2. Principios del tratamiento
Calidad
Los tratamientos de datos son imprescindibles en el estado actual de la tecnología y de la
sociedad para el logro de los legítimos intereses económicos y jurídicos de los ciudadanos y
de las empresas.
El establecimiento del equilibrio entre ese legítimo interés social en emplear tecnologías
de información sobre datos de carácter personal y el de los particulares afectados en no ver
comprometida su vida privada conduce al establecimiento de un régimen de explotación de
dicha información, manifestado en unos criterios o principios de tratamiento –que se traducen
en obligaciones directas de los responsables de los tratamientos– . Si el individuo ha de verse
sometido al escrutinio de parte de su vida por terceros, a consecuencia de sus relaciones
sociales, económicas y de cualquier otro orden, la información que de él mantengan dichas
instituciones –de la que se pueden derivar consecuencias de todo tipo 97.
Establece el art.6 de la Directiva 95/46/CE los siguientes principios de tratamiento:
Tratamiento leal y lícito
Para fines determinados, explícitos y legítimos. Los posteriores tratamientos no
pueden ser incompatibles con los fines originarios para los que fueron recabados
Adecuados, pertinentes y no excesivos con relación a los fines originarios y
posteriores
Exactos y actualizados, cuando sea preciso 98
Conservados en una forma que permita la identificación de los interesados durante
un período no superior al necesario para los fines de recogida o los posteriores
compatibles con éstos.
97
Entre los derechos reconocidos a los interesados se halla, no sin fundamento, los de oposición a los
tratamientos y a las decisiones automatizadas que tengan por exclusiva base un tratamiento automatizado de
información personal (art. 13LOPDP).
98
El art. 4..3 LOPDP explicita más esta obligación, determinando que «los datos de carácter personal serán
exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado», lo que
especifica de forma más adecuada el carácter de contrapeso frente a la injerencia que de por sí supone un
tratamiento de datos personales ajenos.
Las condiciones de licitud de los tratamientos vienen determinadas por la ley. Si antes de
la Directiva 95/46/CE las legislaciones nacionales consideraban como condiciones
legitimadoras del tratamiento al consentimiento del interesado o a la ley, la DPD altera dicha
estructura determinando unos principios (art. 6) que han de cumplir los datos a tratar, y unas
condiciones (arts. 7 y 8) que han de darse en los tratamientos. Sólo mediante el cumplimiento
de dicho doble filtro, como señala HEREDERO HIGUERAS 99, será admisible y lícito un
tratamiento.
Con independencia del subprincipio de finalidad, que merece una consideración
independiente, es el principio de calidad estricta, en la forma citada en el art. 4.3 de la
LOPDP, el más relevante de los señalados para el tratamiento. Requiere la puesta al día
permanente de los datos para que respondan con veracidad a la situación actual del interesado
100
.
La modificación derivada de una actualización exigirá su comunicación a quienes se
hayan cedido los datos en cualquier forma 101.
La conservación de la información está supeditada a la finalidad a la que se destinen los
datos (art. 4.5 LOPDP). Fuera de ese caso –es decir, el de duración de los motivos por los que
se recogieron–, la conservación de información deberá estar amparada en alguna de estas
condiciones:
Existir una obligación legal de conservación (arts. 4.5 y 16.5 LOPDP), o
Haberse desagregado o disociado la información, de forma que no se permita la
identificación del interesado 102
Finalidad
Al principio de finalidad se someten tanto la calidad de los datos, la cantidad que pueden
tratarse, su plazo de almacenamiento y la posibilidad de empleo para otros motivos, que han
de ser compatibles con los declarados en la recogida.
Su conocimiento por el interesado es determinante para que éste pueda dar el
consentimiento en la forma y fines que prevé el art. 3.h) LOPDP, de forma libre, inequívoca,
específica e informada. Así, constituye uno de los contenidos que ha de ser comunicado al
interesado antes de recabar el consentimiento legitimador del tratamiento (art. 5.1 LOPDP).
El principio de finalidad ha sido el empleado por la jurisprudencia para considerar ilícitos
determinados tratamientos. Así, la STC 125/1998, de 15 de julio (p. Mendizábal Allende) 103,
99
HEREDERO HIGUERAS, Manuel, La Directiva Comunitaria de Protección de Datos Personales, Pamplona
1.997, pág.110.
100
En garantía de este principio prevé el art. 4.4 LOPDP que « Si los datos de carácter personal registrados
resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los
correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el
art. 16.»
101
El art. 16.4 LOPDP lo prescribe de la siguiente forma: «Si los datos rectificados o cancelados hubieran sido
comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación
efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá
también proceder a la cancelación»
102
La LORTAD definía el proceso de disociación en el art. 3.f) como « f) Procedimiento de disociación: Todo
tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona
determinada o determinable».
103
Esta es una de las sentencias recaídas en el «caso RENFE», anteriormente juzgados en las SSTC 11, 33, 35 y
95/1998.
consideró ilícito el tratamiento de los datos de afiliación sindical en poder de la empresa a

efectos de cobro de la cuota sindical para descontar a los miembros de un sindicato
organizador de un paro laboral las jornadas no trabajadas. De igual forma, la STC 144/1999,
de 22 de julio (p. Mendizábal Allende) también apreció violación del derecho a la intimidad
(aunque no del de protección de datos, que no fue invocado) por haberse despachado hoja
histórico-penal contraviniendo el objeto previsto para tal instrumento en el Código Penal y el
procedimiento de expedición.
La función del principio es permitir, mediante la información que de las finalidades del
tratamiento se ha de proporcionar al interesado, el control del flujo de información personal
que puede ser almacenado y tratado por terceros 104
Información
El tratamiento leal al que se refiere el art. 6.1 DPP y el 4.7 LOPDP impide la recogida
por medios fraudulentos, desleales o ilícitos. Para eludir tales situaciones, el interesado ha de
ser informado en el momento de la recogida (art. 5.1 y 2 LOPDP) de la existencia del fichero,
de la finalidad del tratamiento y de los destinatarios de la información, de la identidad de su
responsable o encargado, del carácter obligatorio o facultativo de las respuestas y de las
consecuencias de la respuesta o de su negativa, así como de la posibilidad de ejercicio de sus
derechos de acceso, rectificación y cancelación 105
Consentimiento
El consentimiento es definido en el art. 3.f) LOPDP como «toda manifestación de
voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen» 106.
La DPD sólo exige, como una de las condiciones de tratamiento, la de que se preste de
forma inequívoca. La Agencia de Protección de Datos admite la prestación del
consentimiento inequívoco tanto de forma expresa, como tácita y presunta 107, esto es,
104
STC 125/1998, F.J. 2ª: «Este --dice su tenor-- no sólo entraña un específico instrumento de protección de los
derechos del ciudadano frente al uso torticero de la tecnología informática, sino que consagra un derecho
fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona a la "privacidad"
según el neologismo que reza en la exposición de motivos de la LORTAD pertenezcan o no al ámbito, más
estricto de la intimidad, para así preservar el pleno ejercicio de sus derechos. Trata de evitar que la
informatización de los datos personales propicie comportamientos discriminatorios. Y aquí se utilizó un dato
sensible, que había sido proporcionado con una determinada finalidad, para otra radicalmente distinta con
menoscabo del legítimo ejercicio del derecho de libertad sindical». Ello conduce derechamente al otorgamiento
del amparo solicitado, para lo cual hemos de declarar la nulidad de las dos sentencias que son objeto de este
proceso»
105
Se prevén excepciones a este deber de información cuando los datos no son recabados del propio titular (en
cuyo caso la información se ha de dar en los tres meses siguientes a la fecha de registro de los datos); cuando el
tratamiento tenga por objeto una finalidad científica, histórica, o estadística, o exija esfuerzos desproporcionados
a juicio de la APD; así como cuando los datos hayan sido extraídos de fuentes al público y se destinen a fines de
publicidad y prospección comercial.
106
El art. 2.h) DPD lo define como « toda manifestación de voluntad, libre, específica e informada, mediante la
que el interesado consienta el tratamiento de datos personales que le conciernan.»
107
Memoria 1994, pág. 86: «El consentimiento expreso se manifiesta mediante un acto positivo y declarativo de
la voluntad. El consentimiento tácito se produce cuando pudiendo manifestar un acto de voluntad contrario, éste
no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o
aceptación. Por último, cabe el consentimiento presunto, que no se deduce ni de una declaración, ni de un acto de
silencio positivo, sino de un comportamiento o conducta que implica aceptación de un determinado compromiso
u obligación.
derivado del propio comportamiento del interesado. La LOPDP sí exige, en cambio, que el
consentimiento sea informado, de modo que el incumplimiento del art. 5 relativo a las
obligaciones en tal sentido por los responsables de tratamiento permitirá hablar de un
tratamiento ilícito, e incluso fraudulento si tal ausencia de información fue voluntariamente
querida por el responsable.
El consentimiento es preciso no sólo para el tratamiento inicial, sino para cualquier
cesión posterior a un tercero, tal y como previene el art. 11.1 LOPDP. Como justifica el TC
en su Sentencia 292/2000 de 30 de noviembre:
«El derecho a consentir la recogida y el tratamiento de los datos personales --art. 6 LO
15/1999 de 23 Dic. (protección de datos de carácter personal) (LA LEY-LEG. 4633/99)--
no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye
una facultad específica que también forma parte del contenido del derecho fundamental a
la protección de tales datos. Por lo tanto, la cesión de los mismos a un tercero para
proceder a un tratamiento con fines distintos de los que originaron su recogida, aun
cuando puedan ser compatibles con éstos --art. 4.2 LO 15/1999--, supone una nueva
posesión y uso que requiere el consentimiento del interesado. Se trata de una facultad que
sólo cabe limitar en atención a derechos y bienes de relevancia constitucional, por lo que
debe estar justificada, ser proporcionada y estar establecida por ley, pues el derecho
fundamental a la protección de datos personales no admite otros límites. »
Datos sensibles
La DPD, en la opinión del autor antes citado, alude a que las condiciones del tratamiento
se hallaban en los arts. 7 y 8. El art. 8 hace referencia a determinadas categorías de
tratamientos, especiales por los datos tratados, atinentes a la intimidad del interesado o a otras
facetas de su vida íntima amparadas en otros derechos fundamentales.
La DPD establece más condiciones de tratamiento que la LOPDP. Esta hace depender el
tratamiento del consentimiento expreso y por escrito del interesado 108, de una disposición
legal 109, o de un interés vital del interesado 110. La DPD, en cambio, alude a las actividades de
cumplimiento de la legislación laboral, así como las precisas para el reconocimiento, ejercicio
o defensa de un derecho en un procedimiento judicial. La amplitud de estas condiciones,
sobre todo de la última, permitirían el acceso a datos de comunicaciones que fueran
considerados «sensibles», a pesar de nuestro criterio contrario, a fin de hacerlos valer en
juicio en ejercicio de la acción penal pública.
Seguridad y confidencialidad
La Agencia viene interpretando que el consentimiento a que se hace referencia en el artículo 11,ha de ser
previo, pero puede ser tanto expreso o tácito, como presunto, porque de una interpretación sistemática de la Ley
Orgánica, se deducen claramente aquellos supuestos en los que la Ley exige que el consentimiento sea expreso,
como en el caso de los datos especialmente protegidos (artículo 7), que además debe otorgarse por escrito. Sensu
contrario, cuando no se requiere que sea expreso, la Agencia interpreta que el consentimiento en cualquiera de
las modalidades referidas es conforme a la Ley Orgánica, lo que será de aplicación para la cesión, en cuyo caso
sólo se exige que el consentimiento exista con carácter previo, debiendo además señalarse que, de acuerdo con lo
establecido en el artículo 11.4 de la Ley Orgánica, el consentimiento es revocable en cualquier momento.»
108
Art. 7.2 y 3, para el tratamiento de tratamiento de datos relativos a ideología, religión, creencias, afiliación
sindical, origen sexual, salud y vida sexual.
109
Art. 7.3, tratamiento de datos relativos a salud, vida sexual y origen racial, así como referentes a comisión de
infracciones penales o administrativas.
110
Art. 7.6, prestaciones sanitarias, siempre que los datos sean tratados por personal sanitario sometido a secreto
profesional o a cualquier otra clase de obligación equivalente de secreto.
Los datos tratados han de ser almacenados de forma que se protejan contra la destrucción,
accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no
autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una
red, y contra cualquier otro tratamiento ilícito de datos personales (art. 17.1 DPD) 111.
La seguridad garantizada no es absoluta, sino que se halla en función del riesgo y de la
naturaleza de la información almacenada, habida cuenta el estado de la técnica y del coste de
las medidas. Para ello, el RD 994/1999, de 11 de Junio (RMS) determina en su art. 4 tres
niveles de «sensibilidad informacional», precisando en su articulado un conjunto progresivo
de medidas categorizadas en tres niveles: básico, medio y alto.
En materia de medidas de seguridad, el RMS exige que, tratándose de
telecomunicaciones entre equipos de tratamiento pertenecientes al mismo sistema de
información 112, se mantenga el mismo nivel de seguridad en ambos puntos de la conexión
(art. 5). Para los ficheros de alto nivel de seguridad el art. 26 exige el empleo de mecanismos
de cifrado o de cualquier que haga ininteligible la información durante la transmisión. 113
5.2.a.3. Derechos
El «habeas data», denominación empleada para referirse al conjunto de derechos
establecido por la ley para la protección de los datos personales, está constituido por los
derechos de acceso, rectificación, cancelación, oposición a los tratamientos e indemnización
en caso de sufrir un daño efectivo a consecuencia de los tratamientos efectuados.
Se hallan regulados en los arts. 13 a 19 LOPDP, entre los que se incluyen también el de
impugnación de valoraciones basadas únicamente en tratamientos automatizados (art. 13) y el
111
El art. 9 LOPDP establece la transposición de estas condiciones al Derecho interno:
«1. El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que
están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se
determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros
automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el art.
7 de esta Ley.»
Nótese que el legislador español no ha considerado el coste como un factor de rechazo de medidas de
seguridad. La seguridad a ofrecer únicamente dependerá del riesgo concreto y de la naturaleza de la información
personal almacenada.
112
El RMS se aplica a los sistemas de información con los que se traten ficheros de datos personales, siendo
aquellos definidos como «conjunto de ficheros automatizados, programas, soportes y equipos empleados para el
almacenamiento y tratamiento de datos de carácter personal» (art. 2.1). Por tanto, pueden cubrir a varios ficheros
de datos mantenidos por el mismo responsable, ya se hallen en la misma ubicación o dispersos geográficamente
[el fichero de datos personales es definido, a su vez, en la DPD art. 2.c) como « todo conjunto estructurado de
datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido
de forma funcional o geográfica»
113
Art. 26 RMS: « La transmisión de datos de carácter personal a través de redes de telecomunicaciones se
realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no
sea inteligible ni manipulada por terceros.»
derecho de consulta del Registro General de Protección de Datos (art. 14), como acto previo
al ejercicio de los restantes derechos.
Los derechos de acceso, rectificación y cancelación tienen por objeto facilitar al
interesado titular de los datos frente al responsable del tratamiento el control del
cumplimiento por éste de los principios y condiciones del tratamiento. Así, la rectificación y
cancelación procederán cuando los datos hayan dejado de ser pertinentes o necesarios para las
finalidades para las que fueron recabadas, o son inexactos o incompletos. También, cuando su
tratamiento no se ajuste a las condiciones previstas por la ley (art. 16.2).
Por ello, podemos afirmar que su ejercicio tiende a velar por la calidad de la información
que, por propia voluntad o por designio de la ley, se permite mantener en poder de terceros,
de modo que las decisiones resultantes de dichos tratamientos no le afecten más allá de lo
permitido por la ley, dentro del conjunto de garantías previstas por la misma.
El ejercicio de los derechos se halla sometido a los preceptos antes citados, así como al
RD 1332/1994, de 20 de junio y a la Instrucción 1/1998, de 19 de enero, de la APD, relativa
al ejercicio de los derechos de acceso, rectificación y cancelación.
5.2.b) Especialidades en materia de comunicaciones electrónicas
La regulación anterior es de completa aplicación al sector de las comunicaciones. Pero
consciente el legislador de la especificidad técnica de este sector, y de la posibilidad de
disposición de determinados servicios que implican el tratamiento de datos personales cuyo
control no puede lograrse mediante las condiciones genéricas de tratamiento previstas en la
DPD, procedió a dictar una norma propia, la Directiva 97/66/CE (DT), a fin de dar cauce legal
a las manifestaciones concretas en este ámbito de algunos derechos de protección de
información personal.
Los avances tecnológicos acaecidos desde 1.997 en un sector en constante evolución han
hecho conveniente la puesta al día de los textos legales sobre la materia. El 12 de julio de
2.000 fueron publicadas en el DOCE un conjunto de propuestas de Directivas relativas al
marco jurídico y técnico de las comunicaciones electrónicas, incluida una versión actualizada
de la DT. Con ellas se pretende adoptar, como ya fue expuesto, un enfoque neutro que
permita dejar claro la aplicación de los criterios de confidencialidad de las comunicaciones a
los nuevos entornos de comunicaciones electrónicas, tales como Internet.
Ya hemos hecho referencia a que los datos personales tratados al hilo de la prestación de
un servicio de comunicaciones electrónicas. Unos son previos a la comunicación (Datos de
abonado o suscriptor), otros son simultáneas a ésta (datos de tráfico, incluidos los relativos a
la navegación por Internet) y otros son posteriores a la misma (Datos de facturación). Cada
uno de estos momentos exige una concreción de las garantías comunes.
Ante la ausencia de normas propias en la DT se aplicarán subsidiariamente las normas de
la DPD 114
5.2.b.1. Tratamientos previos a la comunicación. Los datos de abonado. Las guías de
servicios de comunicaciones electrónicas
Nada se prevé en la DT acerca de la recogida de datos de contratos sobre los abonados a
servicios de comunicaciones electrónicas. Serán por ello aplicables los principios
114
El art. 1.2 de la DT determina: «A los efectos mencionados en el apartado 1, las disposiciones de la presente
Directiva especificarán y completarán la Directiva 95/46/CE. Además, protegerán los intereses legítimos de los
abonados que sean personas jurídicas.»
legitimadores del tratamiento previstos por la DPD; en concreto, el principio de información,

consentimiento, y de finalidad.
La DPD alude, como condiciones lícitas de tratamiento en el art. 7, al consentimiento
inequívoco del interesado o a la necesidad de aquél para la ejecución de un contrato en el que
el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición
del interesado.
La LOPDP considera estos supuestos como manifestaciones de consentimiento tácito, al
excluir la necesidad de su concurrencia en tales casos (art. 6.2: «No será preciso el
consentimiento:»).
Los datos de suscriptor son empleados por los operadores de servicios para la confección
de las guías de abonados. Su uso es un instrumento a veces imprescindible para la utilización
de los servicios de telecomunicaciones, como reconoce el Considerando 7 de la propuesta de
Directiva sobre el servicio universal y los derechos de los usuarios en relación con las redes y
servicios de comunicaciones electrónicas, y es así regulado como un derecho de los usuarios
en los art. 5 y 21 (a consultarla mediante un servicio de información y mediante la entrega de
una guía en papel o electrónica periódicamente actualizable). Tales directorios, en formato
tradicional o electrónico, presentan serios problemas con respecto al tratamiento de datos
personales.
La LORTAD, así como el RD 1334/1994, consideraban a este tipo de guías como fuentes
accesibles al público 115, pudiendo ser empleadas por las empresas dedicadas a la recopilación
de direcciones para la elaboración posterior de listas destinadas al márketing (art. 29
LORTAD 116). El empleo de estos medios no está sometido a las condiciones de requerir el
consentimiento previo del interesado, ni por tanto de informarle de la inclusión en ellas,
aunque sí quedaba a salvo su derecho de oposición manifestado en el derecho a ver
cancelados los datos.
La LOPDP excluye de regulación propia a los repertorios telefónicos. Las fuentes
accesibles al público –que pasa a definir ella misma, derogando por tanto el art. 1.3 del RD
1332/1994– son definidas como
«aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida
por una norma limitativa o sin más exigencia que, en su caso, el abono de una
contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente,
el censo promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado académico,
115
El art. 1.3 del RD 1332/1994 definía los datos accesibles al público como «los datos que se encuentran a
disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios
tales como censos, anuarios, bases de datos públicas, repertorios de jurisprudencia, archivos de prensa,
repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a
grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos,
dirección e indicación de su pertenencia al grupo.»
116
Art. 29 LORTAD: «1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos,
publicidad o venta directa y otras actividades análogas, utilizarán listas tratadas automáticamente de nombres y
direcciones u otros datos personales, cuando los mismos figuren en documentos accesibles al público o cuando
hayan sido facilitados por los propios afectados u obtenidos con su consentimiento.
2. Los afectados tendrán derecho a conocer el origen de sus datos de carácter personal, así como a ser dados de
baja de forma inmediata del fichero automatizado, cancelándose las informaciones que sobre ellos figuren en
aquél, a su simple solicitud.»
dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes

de acceso público los diarios y boletines oficiales y los medios de comunicación.»
La DT regula las guías en su art. 11, estableciendo el siguiente régimen legal:
Los datos recogidos en ellas serán los estrictamente precisos para identificar a un
abonado concreto (principio de proporcionalidad)
La incorporación de más datos personales precisará un consentimiento inequívoco
del titular (principio de consentimiento)
El abonado tiene derecho, en relación a sus datos:
o a ser excluido de las guías de forma gratuita
o a indicar que no pueden emplearse a fines de venta directa
o a la omisión parcial de su dirección o a la referencia a su sexo.
Los derechos sólo son reconocidos a personas físicas.
En la propuesta de nueva DT se da un paso adelante y se contemplan específicamente los
derechos de información y oposición al tratamiento de la DPD. Así:
Serán informados de los fines de la guía, así como de cualquier otra posibilidad de
uso basada en funciones de búsqueda incorporadas a las guías electrónicas
Podrán determinar qué datos personales incluyen, cuáles de entre ellos, teniendo
el derecho a comprobarlos y suprimirlos
Siguen siendo reconocidos sólo a personas físicas, sin perjuicio de la protección
de los intereses legítimos de las personas jurídicas al respecto.
La referencia expresada a la información sobre los posibles usos basados en funciones de
búsqueda hace referencia a lo que se denominan «búsquedas inversas». Mediante programas
adecuados de gestión de bases de datos personales, se puede localizar información personal a
partir del número telefónico. Si las bases están alimentadas con otros ficheros de datos (de
naturaleza económica, incluso con fotografías de las viviendas de la zona en la que se halla
instalado ese equipo telefónico) se obtendrá un perfil de personalidad y de solvencia
económica que el usuario al servicio telefónico no ha previsto y no ha autorizado
inequívocamente.
Estos servicios no se consideran ilícitos, aunque sí sometidos a la obligación de un
tratamiento lícito de la información que manejan 117. Para ello es preciso informar
previamente a los titulares de la información personal de la voluntad de incluirla en el
sistema. Si el operador de servicios de telecomunicaciones oferta dicho producto o cede los
datos con esos fines, deberá advertirlo previamente a su abonado antes de firmar el contrato
de suministro del servicio. 118
117
El Grupo de Berlín en materia de Telecomunicaciones consideró, en su Posición Común de 15 de abril de
1.998, que la finalidad del repertorio de búsqueda inversa es distinta de la del repertorio tradicional, por cuanto
en la primera se pretende averiguar la identidad e información sobre un usuario a partir de su número telefónico
(o de otro medio de comunicación); en tanto que la de los repertorios de abonados es encontrar el número de
abonado de una determinada persona. Esta diferencia hace que el tratamiento de los datos de las guías para los
fines de búsqueda inversa contraviene el art, 6 DPD, que exige que los datos personales sean tratados con fines
determinados, explícitos y legítimos y no sean tratados posteriormente de manera incompatible con dichos fines.
118
El Consejo de Europa, por el contrario, consideraba en su Recomendación R(95)4 relativa a tratamientos de
datos personales en el sector de las telecomunicaciones, que «El cruce de datos contenidos en una guía telefónica
con otros datos u otros ficheros debería estar prohibido, salvo en que el derecho interno lo permita o si es
necesario para los operadores de red o para los proveedores de servicios con fines operativos»
Por ello, los Grupos especializados en materia de protección de datos y de

telecomunicaciones sólo consideran lícito este tratamiento si:
Se obtiene el consentimiento específico e informado antes de la inclusión en la
guía.
El responsable del tratamiento debe informar al abonado en especial sobre el uso
de los datos personales en las guías; si se prevé utilizar los datos en servicios de
búsqueda inversas o multicriterio y en qué medida; y de su derecho a modificar su
decisión de autorizar el tratamiento.119
Estos mismos criterios son aplicables a los sistemas de búsqueda mediante motores de
búsqueda en Internet, o mediante listas de direcciones de correo electrónico.120
5.2.b.2. Tratamientos simultáneos. Datos de tráfico y datos de navegación
La DT considera que «los datos relativos a los abonados utilizados para el
establecimiento de llamadas contienen información sobre la vida privada de las personas
físicas y atañen a su derecho de respeto a la correspondencia, o afectan a los intereses
legítimos de las personas jurídicas; que dichos datos sólo podrán almacenarse en la medida en
que resulten necesarios para la prestación del servicio» 121.
Antes hemos estudiado la consideración de los datos de tráfico como datos de contenido.
Esa es la razón para que la DT los considere amparados en el derecho al secreto de la
correspondencia.
Los nuevos medios de comunicación electrónica, sobre todo los basados en la tecnología
IP, requieren el envío de diversos datos en una cabecera de información que es «leída» en los
nodos de comunicación por los enrutadores o encaminadores de señales. Estos tratamientos
son precisos para la realización efectiva de la comunicación, y por ello están amparados en el
art. 7.b) DPD y art. 6 DT. Pero, una vez concluida la comunicación, los datos deberán
destruirse o convertirse en anónimos, al concluir la finalidad para la que fueron recabados o
tratados (art. 4.5 LOPDP).
En cuanto a los datos de navegación, esto es, los rastros que los ordenadores dejan en las
páginas web visitadas, así como en los motores de búsqueda, los Grupos especializados los
consideran datos de contenido, y por tanto sometidos a las mismas medidas de protección
específica (medidas de seguridad y confidencialidad). Además, no siendo necesarios para el
desarrollo de la comunicación 122, su recogida debería contar con el previo consentimiento del
usuario, suficientemente informado por el sitio web de los fines del tratamiento y demás
información establecida en el art. 5 LOPDP.123
119
Dictamen 5/2000 sobre el uso de las guías telefónicas públicas para servicios de búsqueda inversa o
multicriterio (guías inversas). MARKT/5058/00/ES/FINAL WP33.
120
Sobre la consideración de las direcciones de correo electrónico como datos personales, véase Memoria APD
1.998, págs. 404-406.
121
Considerando 17 DT.
122
Su finalidad es la elaboración de perfiles de comportamiento de los usuarios, que permite personalizar la
oferta de productos u otros propósitos de venta directa o prospectiva comercial.
123
Igual criterio cabe plantear frente al uso de cookies o ficheros de seguimiento que se envían e insertan en los
ordenadores de los usuarios sin su conocimiento. Qué duda cabe de que las posibilidades de insertar cualquier
contenido en ellas –incluidos números únicos de identificación– pueden permitir un uso para fines de
investigación policial.
El riesgo de tratamientos desleales en Internet es mayor por cuanto muchos de ellos se

realizan mediante los denominados «tratamientos invisibles» y automatizados mediante
software y hardware. Se habla de las «aplicaciones ET» para referirse a aquellos programas
que están diseñados para remitir información a su centro emisor sin conocimiento del usuario
–que a veces puede desconocer esa utilidad del programa- 124. La Recomendación 1/1999
sobre el tratamiento invisible y automático de datos personales en Internet efectuado por
software y hardware, adoptado por el Grupo de Protección de las Personas el 23 de febrero de
1.999, consideró necesarias las siguientes medidas frente a estos tratamientos:
Los productos software y hardware han de proporcionar información a los
usuarios sobre los datos que pretenden recopilar, almacenar y transmitir; con
facilidades de acceso fácil a los mismos por el propio usuario.
La configuración por defecto de los programas (especialmente de los
navegadores) no debería permitir estos tratamientos. Al contrario, deberían venir
configurado para emplear el mínimo de información posible para realizar una
conexión a Internet. Las cookies, por defecto, no deberían ser almacenadas.
Igualmente, los programas no deberían configurarse de fábrica para autorrellenar
los formularios de datos y remitirlos de forma automática a los centros emisores
sin consentimiento del usuario.
Los productos de hardware y software deberían ofrecer posibilidades de decidir
los datos a tratar, optando por qué información remitir o almacenar, así como
facilidades de borrado de la misma.125
Hay otros datos personales que son tratados de forma simultánea a la realización de la
comunicación. Se trata de la información prestada para identificar las llamadas entrantes y
las líneas comunicadas.
La identificación suele ser útil para decidir iniciar la comunicación propuesta por el
llamante o rechazarla; o bien para poder identificar –e incluso localizar– la localización de las
llamadas y poder auxiliar a la persona que llama 126. Pero en algunas ocasiones, es útil y
precisa la ocultación de dicha identidad 127.
124
Algunos programas antivirus, como Innoculate, creado por la empresa Computer Associates, realiza
tratamientos de este tipo. O Gator, Alexa, zNubbles, entre otros.
El nombre de «aplicaciones ET» proviene del comportamiento de dichos programas, que una vez instalados
«llaman a casa». Fuente: «Privacidad en Internet», Grupo de Protección de las Personas.
125
En tal sentido, el Grupo de Protección de las Personas ha estudiado las propuestas de instrumentos de
protección de la intimidad ante el tratamiento de datos en Internet elaboradas por el Consorcio W3C, que
controla tecnológicamente Internet. Nos referimos al mecanismo P3P (Platform for Privacy Preferences,
Plataforma para los Perfiles de Privacidad; y al OPS (Open Profiling Standar, Estándar de Perfiles Abiertos).
Estos procedimientos permiten que el usuario rellene un formulario con los datos personales que autoriza a
tratar, y que deben poder ser leídos por los programas que recaben información personal del usuario. El usuario y
el responsables del tratamiento «negocian» el nivel de conocimiento posible a través de los medios informáticos.
Dictamen 2/1998, de 16 de junio sobre Plataformas de Preferencias de Privacidad y Norma de Perfiles Abierta.
Memoria APD 1.998, págs. 559-561.
126
Como los servicios de urgencia a que hace referencia el RD 903/1997, de 16 de junio.
127
Sería el caso de las llamadas a centros de auxilio, o a determinadas organizaciones de ayuda ante
enfermedades o situaciones límite. En estos casos, el receptor de la llamada es el primer interesado en ofrecer el
anonimato como medida de generación de confianza en el llamante. Considerando 19 DT.
La posibilidad de oponerse a la presentación del número desde el que se llama es una

manifestación del derecho a oponerse al tratamiento de datos, regulado de forma genérica en
el art. 17 LOPDP.
El régimen jurídico previsto para estas situaciones es el siguiente:128
Se permite la eliminación de la presentación de identificación del número
llamante, llamada por llamada, o por línea.
Se permite esa eliminación por el abonado titular de la línea receptora de la
llamada.
Se otorga al receptor de la llamada el derecho a rechazar la llamada que no se
identifique.
Se permite suprimir la aparición de la identificación de la línea a la que se ha
llamado en la línea llamante.
Los usuarios han de ser informados de estas posibilidades de protección de la
confidencialidad antes de iniciarse el servicio.
Se puede anular las decisiones de eliminación de identificación de la línea
llamante para la averiguación del origen de llamadas maliciosas, por un tiempo
limitado, a petición del abonado que las recibe; así como para utilidad de las
entidades reconocidas por el Estado para la atención de llamadas de urgencia,
incluidos cuerpos de policía, bomberos y servicios de ambulancias.
Serán los operadores de las redes desde las que se originan las llamadas los
responsables de transportar a la red de destino los datos de identificación de las
llamadas.
Por último, debe hacerse mención a los datos de localización geográfica. Estos ya
cuentan entre los datos de tráfico empleados en la telefonía móvil; pero cobran especial
relevancia como servicio de valor añadido en los términos que ya hemos estudiado 129. El
régimen se halla contenido en el art. 9 de la futura DT 130, y es análogo al de los datos de
tráfico: requiere el previo consentimiento para su tratamiento, y la información a manifestar
por el operador al usuario antes de comenzar el servicio. Además, como manifestación del
principio de consentimiento y del derecho de oposición , el usuario puede rehusar
temporalmente el tratamiento.
5.2.b.3. Tratamientos posteriores. Datos de facturación y facturas desglosadas
Tras la realización de una comunicación, parte de los datos empleados en la conexión han
de mantenerse o almacenarse con vistas a permitir al operador de red o proveedor de servicios
reclamar el importe del servicio prestado o de la interconexión. Es el fin de facturación
El tratamiento está legitimado con base en el art. 7.f) DPD, puesto que éste es un
tratamiento necesario «para la satisfacción del interés legítimo perseguido por el responsable
del tratamiento o de un tercero o terceros, siempre que no prevalezca el interés o los derechos
y libertades fundamentales del interesado. En tal sentido, el art. 6.2 LOPDP determina que no
128
Arts. 8 y 9 DT; 8 y 10 propuesta DT actualizada; 69-79 RD 1736/1998, de 31 de julio.
129
En esta función, los datos de localización no constituyen datos de tráfico, sino el propio contenido de la
comunicación. Así se desprende del art. 9 de la propuesta de nueva DT, que expresa en su inciso primero que
«Cuando las redes de comunicaciones sean capaces de tratar datos de localización, distintos de los datos de
tráfico, relativos a los usuarios o abonados de los servicios...»
130
COM (2000) 385 final
requieren el consentimiento inequívoco del interesado, por cuanto se estima tácitamente

consentido al aceptarse el contrato de prestación de servicios que lo requiere para su
mantenimiento o cumplimiento.
El interés prevalente del abonado hace que los tratamientos –en su modalidad de
almacenamiento– sólo sean lícitos en tanto se pueda reclamar la factura. El Grupo de
Protección ha manifestado su parecer sobre la necesidad de armonizar internamente el plazo
de almacenamiento en tres meses.
Por último, en cuanto se refiere a este tipo de datos, debe afirmarse que estos datos no
mantienen ninguna especialidad respecto a los datos de naturaleza contable que son generados
por la prestación de cualquier otro servicio no relacionado con las comunicaciones
electrónicas, al no poder considerarse ninguno de los datos de facturación como «sensible».
Relacionado con este tratamiento se halla el derecho a recibir facturas desglosadas. La
factura desglosada sirve como instrumento para que el abonado pueda decidir sobre el nivel
de gastos que quieren efectuar 131.
Pero debe considerarse que el acceso a las facturas detalladas puede afectar a la intimidad
del usuario. Téngase en cuenta que el terminal de comunicación puede ser usado por varios
usuarios (razón por la que se ha diferenciado entre usuarios y abonados), que requiere la
protección de la intimidad de los unos frente a los otros.
Por ello, el derecho de oposición al tratamiento se manifiesta en la posibilidad de rechazar
la recepción de las mismas (art. 7.1 DT y nueva DT; 66 RD 1736/1998), así como en la
posibilidad de suprimir algunas cifras de los números a los que se ha llamado, o la de suprimir
el los números cuando se ha pagado con tarjeta de crédito. A este respecto, el art. 7.1 de la DT
y de la nueva DT apuntan la posibilidad de potenciar el empleo de modalidades alternativas
de pago o de comunicación que potencien la intimidad (como tarjetas prepago).
Al margen de estos tratamientos, la actual regulación (art. 6.3 DT y nueva DT, y 65.3 RD
1736/1998) permite el empleo de los datos de facturación para fines de promoción comercial
de los propios productos de telecomunicaciones del operador 132 siempre que se cuente con el
consentimiento del interesado 133. Pero este consentimiento puede ser tácito, dado que se
admite en la legislación española tenerlo por dado cuando transcurra un mes desde la remisión
de la comunicación por el operador un mes antes de comenzar la promoción. Ello justifica
considerar a estos datos como datos ordinarios y no sensibles, para los que el art. 7.2 LOPDP
sí exige un consentimiento expreso y por escrito.
La nueva DT incluye también la posibilidad de empleo de estos datos para la prestación
de servicios de valor añadido (art. 6.3). Como indica el Grupo de Protección de las Personas,
la referencia genérica no especifica a qué tipos de tratamientos se refiere, por lo que no
pueden determinarse las garantías precisas 134.
131
Propuesta de Directiva de relativa al servicio universal y los derechos de los usuarios en relación con las
redes y los servicios de comunicaciones electrónicas COM(2000) 392 final, Considerando 11.
132
No se podrían amparar en este precepto ni el empleo de estos datos para fines de promoción comercial de
otros productos que no fueran de telecomunicaciones (o comunicaciones electrónicas) o de promoción comercial
de servicios de comunicaciones electrónicas realizada por otros operadores a los que se cedieran.
133
El interesado ha de dar, por tanto, un consentimiento específico a esta cláusula, por lo que no parece posible
incluirla en el clausulado general del contrato de servicios de comunicaciones.
134
Dictamen 7/2000 sobre la propuesta de Directiva relativa al tratamiento de datos personales y a la protección
de la intimidad en el sector de las comunicaciones electrónicas.
Por lo demás, las condiciones de tratamiento son las mismas que para el resto de los datos
de facturación.
5.2.c) Las restricciones al derecho de protección de datos personales
5.2.c.1. El ámbito de aplicación de las normas estudiadas
Como derecho fundamental, la protección de datos personales puede verse sometido a
restricciones y limitaciones para el cumplimiento de otros fines públicos legítimos en una
sociedad democrático.
El punto de partida de los derechos de protección de datos personales, constituido por el
Convenio 108, establece en su preámbulo su conexión con el CEDH al que pretende
complementar ampliando la protección de la vida privada ante los peligros emanados de las,
por entonces, emergentes tecnologías de la información. Ello justifica la aparición de las
mismas restricciones establecidas en los arts. 6, 8 y 10 CEDH, que son reiteradas en su art.
9.2. 135
Según explica la Memoria del Convenio, el punto de partida de éste es que determinados
derechos de las personas deben ser protegidos en relación con la libertad de circulación de la
información sin consideración de fronteras. Cuando el Convenio prevé restricciones o impone
condiciones al ejercicio de los derechos reconocidos es sólo en la medida de que tales
restricciones y condiciones constituyen medidas justificadas por la protección de otros
derechos y libertades. Con todo, se pretende que cada Parte adopte las medidas necesarias
para dar cumplimiento al «núcleo irreductible» de derechos reconocido en el capítulo II en su
legislación interna.136
El sometimiento de los países del Consejo de Europa a este Convenio y al CEDH
convierten., por tanto, a las previsiones de los arts. 5 a 8 en el contenido esencial del derecho
a la protección de datos personales. Y así fue reconocido por el TC en su Sentencia 254/1993,
de 20 de junio, a pesar de no haberse dictado todavía norma interna alguna de aplicación de
dicho Convenio y no constituir estas normas preceptos self executiving.
La referencia al Convenio 108 y sus restricciones es pertinente por cuanto, en materia de
intervención de comunicaciones electrónicas –y de los datos personales a ella asociados en
cualquiera de sus fases– las normas comunitarias estudiadas excluyen de su ámbito de
actuación cuando se refieren a materias no regidas por el derecho comunitario, como son las
relativas a la defensa de la seguridad pública, la seguridad del Estado (incluido el bienestar
económico del Estado cuando las actividades tengan relación con asuntos de seguridad del
Estado) y la aplicación del Derecho Penal 137. Ello podría llevarnos a la conclusión de la
inutilidad del examen realizado, por cuanto ninguno de los derechos es de aplicación al
ámbito de las intervenciones de comunicaciones en el proceso penal. Sin embargo, la
conclusión debe ser otra.
135
Art. 9 Convenio 108: «1. No se admitirá excepción alguna en las disposiciones de los artículo 5, 6 y 8 del
presente Convenio, salvo que sea dentro de los límites que se definen en el presente artículo.
2. Será posible una excepción en las disposiciones de los artículos 5, 6 y 8 del presente Convenio cuando tal
excepción, prevista por la ley de la Parte, constituya una medida necesaria en una sociedad democrática:
a) Para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del
Estado o para la represión de infracciones penales;
b) para la protección de la persona concernida y de los derechos y libertades de otras personas.»
136
Memoria del Convenio 108, parágrafos 19 y 20. Versión incluida en HEREDERO HIGUERAS, Manuel, La
Ley orgánica 5/1992 de regulación del tratamiento automatizado de datos de carácter personal, Madrid, 1.996,
pág. 437.
137
Considerando 12 y art. 1.3 DT. Considerando 13 y art. 3.2 DPD.
De una parte, el régimen de protección de datos pergeñado por las normas comunitarias
siguen el Convenio 108 y el «núcleo irreductible de derechos», por lo que, aun no aplicándose
aquéllas, el conjunto de garantías sería de aplicación por remisión directa a la norma del
Consejo de Europa.
Por otra, las propias normas comunitarias no son ajenas al ámbito de la seguridad pública
y la aplicación de la ley penal. De hecho, varias de sus disposiciones se refieren a tratamientos
efectuados o sometidos a condiciones de ejercicio limitativas por la incidencia de estos
intereses legítimos de una sociedad democrática 138.
Estas cláusulas significan que las directivas no regulan los tratamientos efectuados en
cumplimiento de fines de seguridad pública o para la aplicación de la ley penal 139. Pero las
leyes internas de transposición sí que han de recoger las normas de protección de datos en
ellas diseñadas, con las excepciones previstas para la protección de dichos intereses.140; y
dichas normas sí serán de aplicación a los ámbitos de la seguridad y la justicia. De hecho, la
existencia de estar normas internas es condición indispensable para formar parte de los
sistemas de información en el ámbito policial europeo141
5.2.c.2. El régimen legal aplicable a los tratamientos de datos derivados de las
intervenciones de comunicaciones electrónicas
La aprobación de la LOPDP ha supuesto un peligro importante para el cumplimiento de
los compromisos internacionales a que hemos hecho referencia.
El art. 2.2 establece:
«El régimen de protección de los datos de carácter personal que se establece en la
presente Ley Orgánica no será de aplicación:
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de
delincuencia organizada. No obstante, en estos supuestos el responsable del fichero
comunicará previamente la existencia del mismo, sus características generales y su
finalidad a la Agencia de Protección de Datos.»
138
En relación a la DPD, el art. 8.3, sobre tratamiento de datos sensibles que sea necesario para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. O el apartado 5, relativo al tratamiento
de datos sensibles constituidos por los relativos a infracciones penales o medidas de seguridad, que sólo se
llevarán completos bajo control de la autoridad pública. El art. 13 autoriza la imposición de restricciones a los
principios y derechos del tratamiento por fines de seguridad pública y aplicación de la ley penal, entre otros
motivos. Y el art. 26, que permite la transferencia de datos personales a países sin nivel equivalente de
protección para la satisfacción de un interés público y sea legalmente exigida para tal fin o para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
En la DT, el art. 6.4 acepta la facultad de comunicación de los datos de tráfico o facturación a las autoridades
públicas con vistas a resolver litigios, especialmente los relativos al pago de la facturación. Y el art. 14, que
prevé la imposición de excepciones al principio de confidencialidad, facturación y la identificación de llamadas
por estos motivos.
139
De hecho, las dos grandes instituciones de colaboración policial a escala europea, «comunitarizadas» por
virtud del Tratado de Ámsterdam (el Sistema de Información Schengen y la Oficina Europol) contienen en sus
normas internas una completa regulación en materia de protección de datos personales (Arts. 102-108 Convenio
de Schengen; arts. 13-25 Convenio Europol, de 26 de julio de 1995 –BOE nº 232, 28/09/1998).
140
Además, esas normas satisfarán a su vez la obligación de recepción interna de la regulación establecida por el
Convenio 108. Son, por tanto, normas internas condicionadas por los compromisos legales contraídos a nivel
internacional por vía de instrumentos internacionales, de una y por la pertenencia a la Comunidad Europea, de
otra.
141
Art. 117 Convenio de Schengen. En términos idénticos, el art. 14 del Convenio Europol.
Este precepto implica que los tratamientos automatizados de datos policiales a que dé
lugar una intervención telefónica ordenada por la autoridad judicial en el curso de una
investigación penal por delito grave, podrían carecer de cobertura legal. En efecto, salvo el
art. 11.h) de la Ley Orgánica 2/1986, de 12 de marzo, de Fuerzas y Cuerpos de Seguridad
(LOFCS), que prevé como función policial la de «captar, recibir y analizar cuantos datos
tengan interés para el orden y la seguridad pública, y estudiar, planificar y ejecutar los medios
y técnicas de prevención de la delincuencia» 142, no existe otra norma fuera de la LOPDP que
permita a la Policía acceder a datos personales, y mucho menos tratarlos en ficheros
automatizados. De este modo, con la cláusula incluida a consecuencia de la disputa entre la
APD y el Ministerio de Interior por la publicación en el BOE de la norma de constitución del
fichero BASETER de la Guardia Civil, destinado a la lucha antiterrorista 143, no es que haya
logrado la exclusión de la aplicación del régimen de protección de datos 144; es que se ha
privado a las Fuerzas de Seguridad de una norma habilitante para realizar tratamientos de
datos con fines de investigación.
PARTE II: LA INTERVENCIÓN LEGAL DE LAS

COMUNICACIONES ELECTRÓNICAS
142
Su nivel de imprecisión y de falta de previsión de garantías impide considerarlo, a la luz del art. 8.2 CDEH,
de la jurisprudencia del TEDH y del art. 9.2 Convenio 108, norma habilitante para la realización de tratamientos
automatizados de datos personales con fines policiales.
143
Sobre este aspecto, véanse nuestros trabajos ya mencionados sobre Protección constitucional, administrativa y
penal del derecho a la intimidad, y Medios informáticos y proceso penal, ya citados.
144
Sería siempre de aplicación el Convenio 108 y la Recomendación R(87) 15 relativa a tratamientos de datos
personales en el sector policial.
1. PLANTEAMIENTO GENERAL
Durante la primera parte de este ya extenso trabajo hemos analizado con detenimiento el
régimen legal constitucional y sectorial de protección del secreto de las comunicaciones y de
la protección de datos personales a ellas asociados. La variedad, novedad y complejidad
técnica de estas normas ha motivado un nivel de detenimiento muy superior al que ahora
exigirá esta segunda parte.
¿Por qué era preciso un análisis tan pormenorizado de las normas sectoriales?
Porque las normas procesales vigentes carecen de previsiones acerca de los nuevos
objetos de intervención, los contenidos consistentes en señales de localización, o los datos de
tráfico asociados a las comunicaciones. Dichos objetos requieren la determinación, conforme
a la doctrina del TEDH, precisa y previsible de las condiciones y garantías que deben
cumplimentarse en la ejecución de estas medidas.
Porque la diferencia de objetos susceptibles de protección, sometidos en parte a
regímenes y garantías distintas (secreto de comunicaciones para los contenidos y datos de
tráfico, protección de datos personales para los restantes tratamientos previos y posteriores a
la comunicación) permiten el acceso de las Fuerzas y Cuerpos de Seguridad a parte de las
comunicaciones, por vía del acceso a los ficheros de facturación y a las guías de abonados. Y
dichas facultades derivan de una legislación sectorial que presenta, incluso, dudas en cuanto al
ámbito de aplicación a estas materias (art. 2.2.c) LOPDP).
¿Existe una regulación homogénea, como en el campo de las comunicaciones electrónicas
y de la protección de datos personales, para satisfacer las demandas legítimas de intervención
de comunicaciones en una investigación penal? ¿Cuál es el panorama legal de cobertura en
Derecho Español? ¿Son lícitos los sistemas de vigilancia global de las comunicaciones?
¿Tiene alguna incidencia el empleo de la criptografía en el régimen legal de intervención?
¿Qué papel les corresponde a los proveedores de servicios de comunicaciones electrónicas en
este nuevo entorno? Pretendemos dar contestación, o al menos aproximarnos al estado actual
de estas cuestiones, a lo largo de las próximas páginas.
Sí podemos adelantar algo: el Derecho Español carece de normas propias para satisfacer
los requisitos exigidos por el art. 8.2 CEDH a la restricciones al derecho a la vida privada y a
la correspondencia. Únicamente por cumplimiento de los compromisos internacionales a los
que aludiremos, España se verá compelida a modificar, de una vez, las obsoletas previsiones
contenidas en la Ley de Enjuiciamiento Criminal relativas a la medida de intervención de las
comunicaciones.
La naturaleza internacional de las comunicaciones electrónicas, sobre todo debido a la
expansión de la red Internet, precisa de una regulación de carácter multinacional que
determine un nivel homogéneo de previsiones y garantías para el cumplimiento de estas
necesarias medidas para la seguridad pública y estatal. Las actuales previsiones en desarrollo
(el Convenio sobre el Cibercrimen, en el marco del Consejo de Europa; el Convenio de mutua
asistencia penal entre los Estados miembros de la Unión Europea, actualmente en fase de
ratificación por sus partícipes) centrarán nuestro examen como normas que, en un futuro no
muy lejano, determinarán las bases de la regulación interna.
En cuanto a las normas internas aplicables a las intervenciones de comunicaciones o de
sus datos asociados, escudriñaremos la posibilidad de emplear los preceptos actualmente
vigentes como normas de cobertura, además de los criterios jurisprudencialmente
sistematizados con los que aquéllos han de integrarse. Especial atención merecerá el empleo
de la criptografía como mecanismo de seguridad de las comunicaciones, y su incidencia en las
investigaciones penales.
Por último, revisaremos la cuestión de la consistencia legal de los sistemas de vigilancia
global en el ámbito europeo. ECHELON es un plato que, hoy día, cuando se habla de
intervención de comunicaciones, no puede faltar en la mesa.
2. REGULACIÓN LEGAL DE LAS INTERVENCIONES DE LA

COMUNICACIONES ELECTRÓNICAS
La ausencia ya anticipada de normas propias relativas a estas materias nos obligan a

examinar el Derecho Comparado y las normas de ámbito internacional y comunitario, a fin de
encontrar puntos de apoyo en los que fundamentar, con carácter transitorio, las soluciones a
los problemas que plantea la ejecución de este tipo de medidas de investigación.
Siguiendo el esquema de exposición de la Parte Primera, el estudio en detalle de las
normas de aplicación directa se realizará en los epígrafes posteriores que específicamente se
destinen a los temas concretos.
2.1. Derecho Comparado 145
La incorporación temprana a las redes de comunicaciones electrónicas de algunos países
supuso para ellos la necesidad de afrontar la regulación de las medidas de intervención legal
de las comunicaciones electrónicas.
Esta situación ha generado un desfase legal y práctico entre dichos países y el resto,
puesto que su experiencia les ha llevado a plantearse cuestiones cuya importancia pasa
desapercibida para el resto de las naciones, así como requerimientos al resto de naciones que
pueden correr el riesgo de sufrir la incomprensión derivada de dicha circunstancia.
2.1.a) Estados Unidos
En Estados Unidos vio la luz Internet. Por esta razón, el reconocimiento de los derechos
de secreto de comunicaciones está más radicado allí que en el resto de las naciones 146. El
entendimiento de la forma de protección de la intimidad en las comunicaciones electrónicas
por los Tribunales norteamericanos es, por tanto, una guía eficaz para la determinación de los
aspectos de interés en nuestro propio Derecho.
La Constitución norteamericana carece de normas propias que reconozcan el derecho a la
intimidad y al secreto de las comunicaciones. No obstante, la interpretación jurisprudencial ha
radicado el fundamento legal de este derecho en la IV Enmienda. Proclama el texto citado
que:
145
Un estudio resumen de las normas sobre intervención de comunicaciones puede hallarse en uno de los
informes del STOA (Scientific and Technical Options Assestment) del Parlamento Europeo) sobre la red
ECHELON «Development pf surveillance techonolgy and risk of abuse of economic information. Part 2/4: The
legality of the interception of electronic communications: A concise survey of the principal legal issues under
international, European and national law». http://www.europarl.eu.int/stoa/default_en.htm
146
Aunque, paradójicamente, es el país donde el Gobierno comete las mayores invasiones a la privacidad de sus
ciudadanos y del resto del mundo por su condición de potencia hegemónica.
«Nadie puede ser objeto de injerencias arbitrarias p abusivas en su vida privada, en la de

su familia, en su domicilio o en su correspondencia, ni ataques ilegales a su honra o
reputación. Toda persona tiene derecho a la protección de la ley contra esas injerencias o
esos ataques»
La importancia en el mundo legal anglosajón del Case Law exige prestar atención a los
pronunciamientos judiciales más relevantes sobre esta materia.
147
El funcionamiento de la IV Enmienda tiene su sede en el ámbito procesal . La
protección que confiere se asienta en dos elementos:
De un lado, la exigibilidad de una orden judicial que describa el objeto a buscar, el
sujeto al que afecta y los motivos que conducen a los agentes de la autoridad a
considerarlo implicado en una investigación penal;
De otro, la aplicación de una «exclusionary rule» 148, o regla de exclusión de la prueba
obtenida con violación de esta garantía.
Para el legislador constitucional, según la exégesis judicial, lo importante es poder aplicar
un remedio al acto que viola la norma, más que la propia declaración de violación.
La primera decisión del Tribunal Federal de los EEUU (Olmstead v. US, 1928),
determinó un ámbito físico de protección de la intimidad frente a los intentos de vigilancia
por parte de agentes del Gobierno. Era la localización física de los agentes lo que determinaba
la ilicitud o no de la búsqueda, no la localización del objeto. A pesar de lo limitado de la
protección, la importancia de esta sentencia radica en el voto particular emitido por el Juez
Louis T. Brandeis, en el que se expresó la concepción actual sobre la privacidad que hoy
manejamos en el ámbito comparado.
En Katz v. US (1967) aparece por primera vez lo que constituirá desde entonces el «test
de privacidad». Este fallo produjo un giro sustancial en la línea anterior, dado que se
reconoció que lo que protegía la IV Enmienda eran a las personas, y no a los lugares donde
éstas se hallaban, siendo su objeto la protección de la privacidad del individuo, aunque éste se
hallara en un lugar accesible al público.
No obstante, el Tribunal decretó que la IV Enmienda no entiende la privacidad como un
derecho constitucional, sino como el fundamento de la prohibición gubernamental de
investigaciones sobre los individuos; que, en caso de violar sus términos, daría lugar a la
aplicación de una regla de exclusión de la prueba obtenida. Para ello, elabora el siguiente test
a considerar para evaluar si se ha producido una violación de la IV Enmienda: a) la primera
parte consiste en averiguar si el sujeto se hallaba amparado en una «expectativa de
privacidad»; b) y la segunda, en si el sujeto actuó conforme a dicha expectativa, medida
conforme a las cautelas que adoptaría un hombre medio para la protección de su privacidad.
Una vez que el Tribunal aprecia que el individuo contaba con dicha expectativa, inicia el
análisis de la actuación gubernamental, valorando para ello: a) la causa de emisión de la orden
judicial; b) si especificó la cosas y el lugar a investigar; c) la fecha de duración de la
búsqueda; d) la justificación de la urgencia de la medida; e) justificación de la necesidad de la
intervención en esa forma.
147
Seguimos en este análisis el interesante estudio SAVITCH, Jonathan, «Destination: E-mail, Crime and Civil
Liberties». http://www.collegehill.com/ilp-news/savitch.html (16/02/1998)
148
Este planteamiento es la base de la conocida doctrina del «fruto del árbol envenenado», con fundamento en
nuestro Derecho interno en el art. 11.1 LOPJ, en cuya virtud son excluidas todas aquellas pruebas que deriven de
una prueba obtenida con violación de derechos fundamentales, esto es, en «conexión de antijuridicidad» con el
acto de violación del derecho fundamental.
La aplicación de este test a la intervención de mensajes de correo electrónico ha sido

afirmada por el Tribunal Supremo, que ha hecho hincapié en la incidencia del empleo
voluntario de medios de comunicación accesibles al público a la hora de valorar la razonable
expectativa de privacidad del individuo, así como el comportamiento acorde con dicha
expectativa. Así, la puesta al público de datos en páginas web se ha considerado como una
reducción voluntaria de dicha expectativa, dando lugar a la denegación de protección bajo la
IV Enmienda 149; en tanto que el acceso al correo electrónico a través de passwords sí se ha
considerado que supone una expectativa de privacidad. 150
Los pronunciamientos judiciales han puesto de relieve dos características fundamentales
de los mandamientos que autorizan las intervenciones de comunicaciones electrónicas :
No pueden erigirse en autorizaciones para la realización de búsquedas generalizadas,
en cuanto a su objeto material, debiendo ceñirse estrictamente a la justificación
ofrecida para su obtención 151;
Se admite cierta flexibilidad en la descripción del objeto a buscar, dado que «en la era
de la tecnología moderna y de la disponibilidad comercial de diversos formatos de
medios, un mandamiento no puede describir con exactitud las formas precisas que
pueden adoptar los datos buscados» 152
El Statue Law ofrece dos normas fundamentales relativas a las intervenciones de
comunicaciones: la Electronic Communications Privacy Act -ECPA (1986) y la
Communications Assistance Law Enforcement Act –CALEA (1994), ambas integradas en el
Título 18ª del Código Federal de los EEUU.
La ECPA 153 establece una distinción fundamental entre interceptación de comunicaciones
e interceptación o acceso a datos almacenados, dedicándole a cada objeto un título regulador
diferente. Aparte de fijar las penas para las interceptaciones ilegales de este tipo de
comunicaciones, precisa las autoridades que pueden solicitar una orden de intervención 154 a
un juez federal. Esta se dará si: a) existe una causa probable de comisión de uno de los delitos
que se enumeran; b) pueden obtenerse comunicaciones incriminatorias relacionadas con dicho
delito a través de la intervención; c) no son aplicables las técnicas normales de investigación;
d) el objetivo de la interceptación (el medio de comunicación) está siendo empleado por el
posible autor; e) las intervenciones se desarrollarán sólo el tiempo necesario para obtener las
comunicaciones requeridas, y cesarán en treinta días.155
La ECPA protege las comunicaciones mediante correo electrónico bajo la denominación
de «comunicaciones electrónicas» 156.
149
Warden v. Hayden, 387 US 294,305 (1967)
150
US v. Maxwell 42 M.J. 568 574 (C.M.A. 1985)
151
Maryland v. Garrison, 480 US 79, 84 (1987).
152
US v Reyes, 798 F.2d 380, 383 10th Circuit (1986).
153
La ECPA actualiza el Título III de la Omnibus Crime and Safe Streets Act, en la que originariamente fueron
autorizadas las intervenciones telefónicas,
154
El Fiscal General, o un asistente del Fiscal especialmente designado perteneciente a la División Criminal
155
Una descripción del procedimiento de intervención, incluida la fase de petición, puede hallarse en
DELANEY, Donald P, y otros, «Wiretap laws and procedures. What happens when the US Government taps a
line» http://cpsr.org/cpsr/privacy/wiretap/wiretap.procedure.htm
156
Son definidas en la Sec. 2510 (12) como «cualquier transferencia de signos, señales, escrito, imagen, sonidos,
datos o inteligencia de cualquier naturaleza transmitidos en todo o en parte por cable, radio, sistema
electromagnético, fotoelectrónico o fotoóptico»
A pesar de los avances que supone con respecto a la regulación de 1.968, la ECPA tiene
una virtualidad garantista reducida en cuanto a las comunicaciones electrónicas. En primer
lugar, las penas establecidas se reducen a las de naturaleza económica, pago de costas y
remoción de los mensajes indebidamente interceptados, estableciéndose unas consecuencias
distintas que para las intervenciones telefónicas. Es decir, no se produce una aplicación de las
reglas probatorias de exclusión, razón por la que los mensajes indebidamente obtenidos sirven
como prueba. Con todo, la ECPA sí proporciona una determinación objetiva de la primera
parte del «test de privacidad», favoreciendo con ello la aplicación de la IV Enmienda como
mecanismo de protección procesal frente a pruebas ilícitamente obtenidas.
Por su parte, CALEA fue diseñada por las agencias federales norteamericanas a través del
Seminario ILETS 157, una serie de reuniones sostenidas en la sede de la Agencia Federal de
Investigación (FBI) durante el año 1.993 con representantes de agencias homólogas de otros
países, incluidos los europeos 158. El objeto era elaborar una lista de requerimientos
tecnológicos que los fabricantes de productos informáticos y de comunicaciones electrónicas
debían implementar en sus aparatos para permitir la realización de intervenciones cuando se
contara con autorización judicial. La norma preveía una subvención estatal de quinientos
millones de dólares para hacer frente a los gastos ocasionados, lo que ha motivado la
suspensión en la aplicación de la ley hasta fecha reciente.
La importancia de esta norma ha sido su ejemplo para la adopción de normas similares en
la Comunidad Europea, como fue la Resolución de la Comisión de 17/01/1995, a la que
posteriormente aludiremos.
CALEA reclama de los operadores de telecomunicaciones la posibilidad de acceder tanto
a los contenidos como a los datos de identificación, sin que alcance a obligarles a facilitar el
texto descifrado de una comunicación remitida con protección criptográfica -salvo que los
mecanismos de cifrado hubieran sido ofrecidos por el propio operador– 159.
2.1.b) Reino Unido
La regulación de la intervención de comunicaciones estaba contenida en la Interception
of Communications Act de 1.985, aprobada tras la condena del Reiuno Unido por el TEDh en
el caso Malone, que ha sido recientemente modificada por la Regulation of Investigation
Powers Act (RIPA) de mayo de 2000 160.
Esta norma regula todo el estatuto jurídico de las intervenciones de comunicaciones tanto
de contenidos como de datos de identificación y tráfico –incluidos los protegidos mediante
encriptación–, ya sea en labores de investigación criminal como de Inteligencia para la
Seguridad del Estado.
Se trata de una norma que recoge las situación actual de la tecnología, estableciendo
provisiones específicas para la intervención de contenidos y de datos de tráfico asociados con
ellas. Sin embargo, la amplitud de poderes atribuidos a la Policía, incluido la sanción penal a
157
International Law Enforcement Telecommunications Seminar, Seminario Internacional de
Telecomunicaciones sobre Cumplimiento de la Ley.
158
QUIRANTES, Arturo, «Investigación especial: ILETS y el asunto Enfopol 98»
http://ugr.es/~aquiran/cripto/enfopol/enfo02.html
159
Esta norma es también recogida en el art. 52.3 LGT española.
160
http://www.legislation.hmso.gov.uk/acts/acts2000/20000023.htm
quien desobedezca una orden de entrega de las claves de cifrado con que se haya protegido un
mensaje, ha levantado la suspicacia y recelo de la opinión pública inglesa 161
2.1.c) Alemania
Los arts. 100ª y 100b incluyen el régimen jurídico de intervención de
telecomunicaciones. El primero de ellos recoge la lista de delitos graves por los que se
autoriza a adoptar esta medida, determinándose el régimen de intervención en el segundo.
Básicamente la medida requiere adopción judicial, salvo casos de urgencia, en que puede
ser acordada provisionalmente por el fiscal, dándose cuenta al juez en el término de tres días,
que deberá ratificarla o dejarla sin efecto.
Debe precisarse en la orden escrita el nombre y domicilio del afectado –que no precisa
haya de ser el imputado–. Igualmente, el modo, alcance y duración, que no podrá ser superior
a tres meses, con posibilidad de prórroga por igual plazo.
Para la realización de la medida, los operadores de telecomunicaciones deberán ofrecer
las capacidades técnicas precisas.
La información obtenida puede emplearse en la averiguación de otros delitos incluidos en
la lista del art. 100.a. La información que no resulte útil para la investigación deberá ser
destruida inmediatamente que se dé dicha circunstancia, levantándose acta.
Del tenor del parágrafo §100a no se desprende que la telecomunicación incluya los datos
personales, razón por la que se estima que la regulación no satisface los requisitos de
precisión exigidos por la doctrina del TEDH para dirigir las nuevas medidas de intervención
de comunicaciones electrónicas.
3. Regulación del Consejo de Europa. Mutua Asistencia Judicial Penal

3.1. Los Convenios de asistencia penal
Como pone de relieve la Memoria Explicativa del Convenio de 29 de mayo de 2000,
relativo a la asistencia judicial en materia penal entre los Estados miembros de la unión
Europea 162, la asistencia internacional en el seno de los países del Consejo de Europa se
venía desarrollando sobre la base del art. 1 del Convenio Europeo de Asistencia Judicial en
Materia Penal, de 20 de abril de 1959. Dicho precepto establecía que:
«Las partes contratantes se comprometen a prestarse mutuamente, de conformidad con las
disposiciones del presente Convenio, la asistencia judicial más amplia posible en los
procedimientos relativos a infracciones cuya represión, en el momento de pedir
asistencia, sea de la competencia de las autoridades judiciales de la parte requirente.»
Dicha práctica se acompañaba de las directrices incluidas en la Recomendación R(85)10
del Comité de Ministros, de 26 de julio, sobre cumplimiento de las comisiones rogatorias
relativas a las peticiones de interceptaciones telefónicas.
Sin embargo, la doctrina del TEDH sobre los requisitos que han de cumplir las leyes que
establezcan medidas restrictivas al derecho a la vida privada y al secreto de las
comunicaciones, el hecho de que las comisiones se cumplimentarían de acuerdo con la
161
«Criticism of net snooping bill grows», 12 junio 2000
http://www.news.bbc.co.uk/hi/english/sci/tech/newsid_784000/784426.stm
162
DOCE C 379, 29/12/2000, p.0007
legislación interna del Estado requerido 163unido al avance tecnológico, a las reticencias
mostradas por varios países miembros del Convenio, motivaron al Consejo de Europa.
3.2. La Recomendación R (95)13
Como complemento actualizado de la Recomendación R(85)10, el 11 de septiembre de
1.995 el Comité de Ministros aprobó la Recomendación R(95)13, relativa a los problemas de
la legislación procesal penal conectados a las tecnologías de la información.
Tras justificar las directrices en la necesidad de dotar a los Estados de eficaces
instrumentos de investigación para el cumplimiento de su misión con relación a delitos
cometidos sobre sistemas de información, posibilitando así la mutua asistencia judicial penal,
el Comité estableció determinados criterios en relación con las búsquedas y comisos de datos
y pruebas informáticas, obligaciones de cooperación con las autoridades investigadoras,
pruebas electrónicas, encriptación, investigación,. Estadística y formación, así como sobre
cooperación internacional. En este último campo, el Comité abogaba por la negociación de
acuerdos internacionales específicos que determinaran cómo, cuándo y con qué extensión
podrían permitirse las búsquedas y comisos regulados en la Recomendación.
En relación con lo que la Recomendación denominaba «Vigilancia Técnica», se
establecieron los siguientes criterios:
Las legislaciones reguladoras de las intervenciones de comunicaciones deberían ser
revisadas, a la luz del fenómeno de la convergencia tecnológica entre las tecnologías
de la información y las telecomunicaciones.
Las leyes procesales deberían permitir a las autoridades encargadas de la investigación
penal disponer de las medidas técnicas precisas para recabar los datos de tráfico de las
comunicaciones en el curso de una investigación penal.
Los datos obtenidos en el curso de una interceptación legal de comunicaciones
deberían ser asegurados de la manera apropiada.
Las legislaciones procesales penales de los Estados miembros deberían ser revisadas
para hacer posible la ejecución de medidas de interceptación de comunicaciones y la
recolección de datos de tráfico a ellas asociadas para la investigación de delitos graves
contra la confidencialidad, integridad y disponibilidad de los sistemas informáticos y
de las telecomunicaciones.
De las medidas citadas, destacan por su interés la segunda, alusiva a la seguridad con que
deberían protegerse los datos recabados, así como la última, que apunta hacia la necesidad
previa de homogeneización de tipos penales para hacer posible la aplicación de las medidas
de cooperación judicial penal.
En efecto. Las medidas procesales de intervención de comunicaciones tienen por objeto
acceder al conocimiento de hechos o indicios probatorios que permitan la incriminación de su
titular como autor de un delito grave. Pero, con la convergencia tecnológica de que venimos
hablando, la diligencia judicial practicada por la Policía Judicial también origina un conjunto
de tratamiento de datos personales derivados del contenido de las comunicaciones
intervenidas, información que acrece los ficheros de datos policiales creados para la
163
Art. 3.1. Convenio Asistencia Penal: «La Parte requerida hará ejecutar, en la forma que su legislación
establezca, las comisiones rogatorias relativas a un asunto penal que le cursen las autoridades judiciales de la
Parte requirente y que tengan como fin realizar actuaciones de instrucción o transmitir piezas probatorias,
expedientes o documentos»
investigación penal. De este modo, la Policía accede a una información personal muy útil –
tratándose de redes de crimen organizado– que, de otra forma, no podría conocer.
La atención se centra siempre en el resultado procesal de la medida, las cintas, las
transcripciones de las conversaciones; mas no en el conjunto de datos que, como información
personal, es registrada en ficheros policiales. La doctrina del TEDH hace referencia a la
necesidad de establecer cautelas en orden a la destrucción de las cintas y del material cuando
no resulte necesario. Convendría recordar que, entre las medidas de seguridad aplicables a la
información recabada mediante estas medidas, deberían contarse la aplicación previa de las
normas del Convenio 108 relativo a la protección de las personas frente al tratamiento
automatizado de datos, especialmente de los derechos contenidos en el art. 5 relativos a la
cancelación de datos cuando dejen de ser útiles a los fines que justificaron su registro. Ello es
predicable de una forma más dramática cuando la prueba obtenida es declarada nula por
violación de las garantías que afectan a su adopción o a su ejecución, dado que el origen de
los datos devendría ilícito por serlo el acto (la intervención de las comunicaciones de las que
se han extraído) que los propició. En esos casos, la resolución judicial que así lo declarara
debería incluir un pronunciamiento específico destinado a suprimir cuanta información
hubiera sido almacenada a partir del material recogido. Sólo así podría dársele cumplimiento
al principio establecido en el art. 11.1 LOPJ, dado que entre los datos almacenados en sede
policial y la diligencia practicada y anulada por vicios insubsanables existiría la «conexión de
antijuridicidad» de la que habla el TC para extender los efectos anuladores de la decisión
judicial.
3.3. El borrador de Convenio sobre el Cibercrimen (v. 25)
A la luz de las Recomendaciones anteriores, y sobre la base de los Informes Kaspersen
(1997) 164 y Sieber (1998) 165 sobre la criminalidad informática, el Comité para Asuntos
Penales, y en especial su Grupo sobre Ciberdelincuencia, ha elaborado un borrador de
Convenio sobre el Cibercrimen. El Convenio fue elaborado en forma reservada hasta que en
diciembre de 2000 fue hecho público el borrador 19, que suscitó serias dudas acerca de su
legalidad, al establecer, entre otras medidas, la obligación de los proveedores de acceso a
Internet de registrar toda la actividad de los usuarios. En su versión 25, la parece ser que
definitiva, el Convenio ha mejorado sustancialmente el texto originario, determinando lo que
será la base de una legislación penal y procesal común que permitirá la cooperación
internacional rápido, eficaz y consistente con las obligaciones suscritos en el CEDH 166.
El Convenio tiene por objeto complementar el Convenio de 1.959 sobre cooperación
judicial en materia penal. Establece, en una primera sección, un catálogo de delitos
relacionados con la confidencialidad, integridad y disponibilidad de los datos informáticos y
de los sistemas; delitos relacionados con la informática, como la falsedad y el fraude
informáticos; delitos sobre contenidos; y delitos contra el copyright y otros derechos
relacionados. También introduce previsiones acerca de la responsabilidad de las personas
jurídicas, sobre las formas de cooperación y sobre las medidas aplicables.
En la sección procesal regula las instituciones de la preservación anticipada de datos; su
cesión parcial, las órdenes de ejecución sobre datos bajo control de los operadores, así como
164
«Implementation of Recommendation Nro. R (89) 9 on computer-related crime», de 24 de marzo de 1.997.
CDPC (97)5; PC-CY (97)5.
165
«Legal aspects of computer-related crimes in the Information Society –Comcrime Study– », de 1 de enero de
1.998. Disponible en http://www.fiscalia.org/doctdocu/doct
166
En esta última versión ha sido objeto del Dictamen 4/2001, de 22 de marzo, del Grupo de Protección de las
Personas 5001/01/ES/Final WP41.
sobre información de suscripción; búsquedas y comiso de datos informáticos almacenados; y

recolección en tiempo real de datos de tráfico y de datos de contenido.
La sección tercera se destina a la jurisdicción, determinando criterios aplicables para
evitar la impunidad de los delitos relacionados en el Convenio.
Se prevén también determinadas medidas sobre cooperación judicial, entre las que
destacan la adopción del principio de cumplimiento de las comisiones rogatorias de acuerdo
con el Derecho del Estado requirente –lo que facilitará su empleo en juicio–; extradición,
intercambios de información espontánea; confidencialidad y límites al uso de la información
proporcionada; y medidas específicas relativas a la ejecución de medidas provisionales en
relación a las preservaciones anticipadas, la revelación anticipada de datos de tráfico, el
acceso a datos almacenados y la asistencia mutua en la interceptación en tiempo real de datos
de tráfico y de contenido.
El texto de este Convenio constituirá la base de la nueva regulación procesal sobre
delincuencia informática, pues sus previsiones no sólo se aplicarán a los delitos de tal
naturaleza, sino también a los implicados indirectamente en el empleo de medios
informáticos, y de aquéllos en que la prueba revista tal carácter. Dada la relación de las
comunicaciones electrónicas con la informática, y los tratamientos de datos personales que
hoy día conllevan, caerán bajo la aplicación de este Convenio en cuanto pruebas en formato
electrónico.
4. Derecho Comunitario
4.1. La Resolución de 17 de enero de 1.995
Cuando estudiamos la ley CALEA estadounidense afirmamos que su interés radicaba en
que había servido de fundamento a la adopción de normas similares entre loa países de su
entorno. Entre ellos debe contarse la Comunidad Europea.
Como se manifiesta en el informe «Development or surveillance technology and risk of
abuse of economic information, Part 1/5», elaborado por STOA para el Parlamento Europeo
en 1999 167, Europa se vio presionada por EEUU para adoptar esta resolución, sin discusión
parlamentaria previa, que tenía por objeto incrementar la capacidad de interceptación de
comunicaciones por parte de aquella nación. Para ello precisaba del establecimiento de un
marco tecnológico homogéneo en su radio de objetivos, entre los que se hallaban las
industrias europeas 168.
La Resolución del Consejo de 17 de enero, sobre la interceptación legal de las
telecomunicaciones, fue publicada en el DOCE un año y medio después, el 4 de noviembre de
1.996, siendo quizá la norma que más ha esperado en el cajón para ver la luz. Su contenido
constituye «una síntesis importante de las necesidades de las autoridades competentes para
poner en práctica, desde un punto de vista técnico, la interceptación legal de los modernos
sistemas de comunicación».
En síntesis, las medidas propuestas por la Resolución se refieren a:
La necesidad de contar con acceso a todas las telecomunicaciones recibidas o
transmitidas a través de teléfono, así como a los datos de trafico conectados con ella.
167
PE 168184/Vol. 1/5/EN
168
Tanto en los informes sobre la red ECHELON elaborados por STOA durante 1.997 y 1999, se hacía alusión a
la desviación del objetivo inicial del espionaje militar al económico en beneficio de empresas norteamericanas en
detrimento de las europeas, como Airbus y Thomson, que fueron aparentemente víctimas de la intervención del
gobierno norteamericano en ayuda de sus competidoras de dicho origen.
La necesidad de poder intervenir telecomunicaciones con exclusión de las que no

entren en el campo de la autorización de intervención.
Los datos a recibir de los operadores de red, relativos a la señal de entrada, número
llamado y llamante, señales producidas por el terminal interceptado, inicio, final y
duración de la comunicación, números de desvío, datos sobre situación geográfico en
caso de teléfonos móviles.
La necesidad de contar con capacidad de interceptación en tiempo real, así como de
forma compartida –aunque confidencial- con otras peticiones de intervención.
La necesidad de interfaces comunes desde los que poder remitir las señales a una
central de interceptación común.169
Los medios precisos para el descifrado de las comunicaciones
La confidencialidad en la ejecución de la medida
El aseguramiento de las condiciones en que se ejecutarían las medidas, impidiendo
que nadie más que las personas autorizadas accedieran a las comunicaciones.
La posibilidad de recibir información previa a la ejecución de la medida referente a la
identidad del sujeto investigado y los requisitos técnicos de los equipos por él
empleados.
La Resolución no tiene carácter vinculante, pero pone de manifiesto la existencia de un
acuerdo de facto internacional para llegar a disponer de los mismos niveles técnicos de
interceptación de las comunicaciones electrónicas.
La velocidad de avance de las tecnologías de las comunicaciones ha hecho preciso poner
al día la Resolución comentada, lo que ha sido realizado en diversas ocasiones 170. Las
propuestas de reforma han suscitado el rechazo de la Comisión de Libertades Públicas y
Asuntos Interiores, que la ha tildado de muy vaga e imprecisa en sus términos, lo que redunda
en indefinición del ámbito de aplicación; así como de perjudicial para los intereses de los
operadores de telecomunicaciones, por los costes que tendrían que asumir para darle
cumplimiento. 171
4.2. Recomendaciones del Grupo de Protección de las Personas
Sin carácter vinculante tampoco, pero de sumo interés en cuanto a las conclusiones a las
que llega, cabe citar la Recomendación 2/99 sobre la protección de la intimidad en el contexto
de la interceptación de las telecomunicaciones.172
El Grupo de Protección de las Personas emitió esta recomendación en contestación a las
Resolución de 17 de enero de 1.995, manifestando su preocupación por la falta de publicidad
en la elaboración de la norma, que impide considerarla una medida accesible al público, en los
169
Este tipo de proyectos está en fase de desarrollo en algunos países: «El MI-5 prepara un centro de control de
la red británica», Diario del Navegante, 1 de mayo de 2000 http://www.el-
mundo.es/navegante/diario/2000/05/01/mi5.html
170
La más importante consta en el documento ENFOPOL 10951/98, de 3 de septiembre, disponible en
http://ugr.es/~aquiran/cripto/enfopol/enfo09.htm .
171
Informe de 23 de abril de 1.999. P. Gerhard Schmid. Disponible en http://www.arnal.es/free/info/enfo.htm
172
5005/99/def. WP 1, adoptada el 3 de Mayo de 1999., en Memoria APD 1.999, págs. 566-573.
términos del CEDH. Igual cabe decir del riesgo de desvío en el empleo de los medios de
interceptación para fines distintos a los de la defensa de la seguridad nacional.
El hecho de que puedan producirse estas interceptaciones no implica, desde el punto de
vista del ciudadano, una merma de sus derechos a la confidencialidad y a la seguridad de sus
comunicaciones. Por ello, los operadores de telecomunicaciones habrán de esforzarse en
adaptar las medidas necesarias para mantener el nivel de una confidencialidad que, sobre
todo, sigue siendo la regla, no la excepción.
Las conclusiones a las que llegó el grupo se referían a la necesidad de que las
legislaciones internas precisaran las condiciones y garantías en que dichas medidas podrían
llevarse a cabo.
También el Grupo de Trabajo sobre Telecomunicaciones emitió una Posición Común
sobre la responsabilidad pública en relación con la interceptación de comunicaciones
privadas, adoptada el 15 de abril de 1998. En dicho documento, el grupo reclamó la adopción
de un régimen de garantías consistente en el establecimiento de un registro de grabaciones
efectuadas, de monitorización y auditorias de las actividades de interceptación desarrolladas,
así como en la exigencia de presentación de informes públicos y periódicos sobre las
actividades de interceptación de comunicaciones.
Con todas estas opiniones, es clara que en el seno de la Unión existe una amplia y
profunda preocupación por el régimen futuro a que han de quedar sometidas este tipo de
medidas, así como la forma –en gran parte secreta– en que se está desarrollando el proceso de
convergencia legislativa entre los Estados de la Comunidad.
4.3. El Convenio de la Unión Europea de asistencia judicial penal de 29 de mayo

de 2000 173
Al amparo del art. 34 del tratado de la Unión Europea, se ha elaborado por los miembros
de la Unión un Convenio de asistencia judicial penal con el propósito de complementar el
Convenio del Consejo de Europa de 1.959.174
La coincidencia temporal proporcionará un marco complejo de normas de asistencia
penal en el seno de los países europeos, dado que serán de aplicación concurrente, en un
futuro, el Convenio de 1959, el Convenio sobre el Cibercrimen y el presente Convenio, así
como algunas normas del Convenio de Schengen relativos la materias (arts 48, 50 y 51).
El Convenio presenta innovaciones interesantes que favorecerán, sin duda, la cooperación
internacional:
De una parte, establece el principio de que, salvo las medidas que supongan una
intervención policial directa en el Estado requerido, las comisiones rogatorias se
cumplirán de acuerdo con el Derecho del Estado requirente (art. 4.1), con vistas a
facilitar su empleo en los procesos penales.
173
Un estudio sobre el mismo puede hallarse en RODRÍGUEZ SOL, Luis, «El nuevo Convenio de Asistencia
Judicial en Materia Penal entre los Estados miembros de la Unión Europea», en La Ley nº 5244, 9 de febrero de
2001.
174
Este Convenio se complementará con la Acción Común de 29 de junio de 1998, sobre buenas prácticas de
asistencia judicial en materia penal 98/427/JAI (DOCE L 191, de 7 de julio de 1.998).
De otra, introduce nuevas medidas procesales, tales como la videoconferencia (art.

10); la audición de testigos o peritos por conferencia telefónica (art. 11), y los equipos
conjuntos de investigación (art. 13).
En materia de intervención de comunicaciones, se regulan en el Título III varias
posibilidades, como son la de intervención y transmisión directa de las
telecomunicaciones, o la intervención, grabación y posterior transmisión. Igualmente,
se prevén diversos supuestos, como la intervención en el territorio nacional por medio
de proveedores de servicio alojados en otro Estado miembro, o las intervenciones sin
la asistencia del Estado en el que radique el sujeto investigado, por tener capacidad
técnica el Estado que la practica para ejecutarla por sí misma.
El Convenio, al igual que los de Schengen y Europol, cuenta con una regulación
propia en materia de protección de datos personales, si bien reducida a la del
resultado de las medidas por él regulados. Por tanto, el régimen «externo» de
protección se someterá a las previsiones del Convenio 108, interpretadas de acuerdo
con las directrices contenidas en la Recomendación R (87) 15, relativa al tratamiento
de datos personales en el sector policial. 175
5. El Derecho Español: La Ley De Enjuiciamiento Criminal
La regulación de la intervención de comunicaciones se halla recogida en los arts. 579 a
588 de la Ley de Enjuiciamiento Criminal, dentro del Título VIII del Libro II, dedicado éste al
Sumario.
Dentro de estos preceptos, el art. 579 actúa de pórtico de las reglas específicas que a
continuación se establecen tanto para la intervención y observación de la correspondencia
postal, telegráfica y telefónica.
El precepto fue modificado por Ley orgánica 4/1988 de 25 de mayo para hacerlo
aplicable a las comunicaciones telefónicas actuales, es decir, también bajo telefonía móvil,
por cuanto la dicción anterior únicamente permitía la observación e intervención de las
conversaciones telefónicas por cable.
Establece el art. 579 LECr. :
«1. Podrá el Juez acordar la detención de la correspondencia privada, postal y telegráfica
que el procesado remitiere o recibiere y su apertura y examen, si hubiere indicios de
obtener por estos medios el descubrimiento o la comprobación de algún hecho o
circunstancia importante de la causa.
2. Asimismo, el Juez podrá acordar, en resolución motivada, la intervención de las
comunicaciones telefónicas del procesado, si hubiere indicios de obtener por estos medios
el descubrimiento o la comprobación de algún hecho o circunstancia importante de la
causa.
3. De igual forma, el Juez podrá acordar, en resolución motivada, por un plazo de hasta
tres meses, prorrogable por iguales períodos, la observación de las comunicaciones
postales, telegráficas o telefónicas de las personas sobre las que existan indicios de
responsabilidad criminal, así como de las comunicaciones de las que se sirvan para la
realización de sus fines delictivos.
4. En caso de urgencia, cuando las investigaciones se realicen para la averiguación de
delitos relacionados con la actuación de bandas armadas o elementos terroristas o
rebeldes, la medida prevista en el núm. 3 de este artículo podrá ordenarla el Ministro del
Interior o, en su defecto, el Director de la Seguridad del Estado, comunicándolo
175
Puede encontrarse el texto de esta resolución en «El Consejo de Europa y la protección de datos personales»,
Madrid, 1.997, págs. 105-114.
inmediatamente por escrito motivado al Juez competente, quien, también de forma

motivada, revocará o confirmará tal resolución en un plazo máximo de setenta y dos
horas desde que fue ordenada la observación.»
Del precepto anterior pueden extraerse las siguientes conclusiones:
La medida sólo puede adoptarse en el curso de una causa criminal abierta, pues la
LECr. Reitera en sus dos primeros apartados que ha de ser una medida idónea para
obtener la descubrimiento o comprobación de algún hecho o circunstancia importante
«de la causa»
Adopta dos modalidades: la intervención, que supone la detención de la
correspondencia antes de que llegue a su destinatario (o su grabación, tratándose de
comunicaciones telefónicas); y la mera observación que implica el mero recuento o
aprehensión sin interrupción de la comunicación. A pesar de la distinción, la doctrina
las considera iguales 176
La dicción del art. 579.3 permite incluir cualesquier otro tipo de comunicaciones de
que se valga el sospechoso, lo que permitirá la inclusión tanto de las nuevas
comunicaciones electrónicas como, entendemos, de los datos de tráfico a ellos
asociados, dada la condición de comunicaciones a ellos atribuible por la doctrina del
TEDH.
La proporcionalidad, en sus facetas de idoneidad y proporcionalidad estricta, se
manifiesta en los requisitos de que la medida sea idónea para descubrir un hecho o
circunstancia relevante para la causa 177, así como en el plazo de duración, que como
hemos tenido ocasión de estudiar anteriormente, no constituye sino el límite máximo –
que no normal– de realización.
La autorización del art. 579.4 no determina la existencia de escuchas administrativas
ajenas a los mecanismos de control jurisdiccional propuesto por el TS y el TC. Será
preciso que en el plazo indicado se presente el escrito autorizatorio al juez para que
éste dicte el auto confirmatorio o revocatorio, auto que deberá cumplir los requisitos
establecidos por la ley.178
En los arts. 580 a 588 se regula con mayor detalle la intervención de comunicaciones
postales. El art. 583 determina el contenido del auto, que deberá especificar la
176
No obstante, LÓPEZ-BARJA considera que la diferencia entre ambos tipos de medida se halla en función de
la condición personal del afectado. Puesto que la intervención supone una medida más invasora de la intimidad,
sólo cabrá frente a imputados o procesados, en tanto que la mera observación podrá acordarse ante sólo
sospechosos.
177
No bastará por ello cualquier información que quepa conocer a través de esta diligencia, sino que requerirá
cierta entidad para el curso de la investigación, lo que deberá ser ponderado en el auto motivado que se dicte
178
A consecuencia de las condenas a miembros de los servicios de inteligencia españoles por escuchas ilegales,
recientemente ratificadas por el Tribunal Supremo, el Gobierno preparó un anteproyecto de ley reguladora de las
actividades del CESID, en el que se preveía el control de las peticiones de escuchas relacionadas con los
supuestos del art. 579.4 por un magistrado del TS con experiencia penal elegido por el CGPJ de entre una terna
presentada por la Sala de Gobierno, previa audiencia de la Comisión de Secretos Oficiales del Congreso de los
Diputados. Las escuchas así acoradas podrían durar un plazo de entre seis meses y un año, siendo
exclusivamente revisadas por dicho magistrado, destruyéndose el material una vez realizada la investigación. La
solicitud deberá incluir el nombre y domicilio del afectado, los hechos, fines y razones que la justifican y la
duración prevista. El procedimiento tendrá la consideración de secreto, dándose cuenta por el magistrado
especial al juez competente., Se prevé, asimismo, una autorización por el director del CESID para los supuestos
del art. 579.4, efectuándose en este caso el control judicial a posteriori. Diario El País, 14 de junio y 8 de julio de
1.998 y 2 de enero de 1.999.
correspondencia a detener, por medio de la designación de las personas a cuyo nombre se

hallan expedido, o por otras circunstancias igualmente concretas. Se prevé, en el art. 584, la
apertura a presencia del interesado.
Las opiniones acerca de la insuficiencia de la Ley española fueron puestas de manifiesto
por la Sentencia Valenzuela Contreras, del TEDH. Ello, unido a los compromisos
internacionales adoptados por España, hacen inaplazable la reforma de la ley. Pero en el
ínterin será preciso dar solución a las peticiones que se presenten en el curso de actuaciones
penales. El remedio empleado, admitido tanto por la jurisprudencia como por la Fiscalía
General del Estado, ha sido considerar la jurisprudencia como fuente integradora de los
preceptos citados. 179
DE LLERA SUÁREZ-BÁRCENA, siguiendo a Aguilera de Paz, mantiene –a nuestro
juicio acertadamente– que la referencia del art. 579.3 a cualquier otra comunicación de que se
sirva el imputado ha de considerar al precepto que la incluye como el marco de regulación de
todos los tipos de intervenciones de comunicaciones que posteriormente se especifican,
pudiendo por ello integrarse las carencias de éste con las precisiones efectuadas por los
artículos siguientes relativas a la identificación de las comunicaciones a intervenir, el
contenido del auto, la citación del imputado, las actuaciones del juez y la destrucción o
devolución de las que no afecten a la causa.180 También nosotros, en materia de intervención
de correos electrónicos, hemos propugnado la aplicación del art. 582 LECr. relativo a los
despachos telegráficos, y la de los sucesivos sobre forma de ejecución, al considerar la
analogía entre los mensajes de correo electrónico y los despachos telegráficos.181 La analogía
permitiría someter la medida al control directo del juez, quien desde la propia autorización
podría, con arreglo a los criterios del art. 583, precisar qué mensajes estarían sometidos a
intervención; y poder citar al imputado a la práctica de la diligencia.182. La aplicación de este
procedimiento, dada la imposibilidad incluso de aplicar las reglas integradoras generadas por
el Tribunal Supremo para las intervenciones telefónicas, permitirían incluso la oportunidad de
contar con asesoramiento pericial para la realización del análisis del contenido de los
mensajes –habida cuenta el volumen que suelen adoptar– , si para ello se requiriera el manejo
de programas de tratamiento de información.
No obstante, la doctrina entiende unánimemente, como no cabe esperar tras los
pronunciamientos judiciales europeos, la insuficiencia reguladora de nuestra ley de
enjuiciamiento y la necesidad de elaborar una completa normativa a la luz de la doctrina sobre
derechos humanos.
179
Acertadamente pone de relieve DE LLERA SUÁREZ-BÁRCENA la dificultad de admisión de esa función
integradora de una fuente jurídica que, de acuerdo con el art. 1.6 del Código Civil, únicamente complementará el
ordenamiento jurídico, de la que no cabe predicar el rango jerárquico suficiente para cubrir la reserva de ley
prevista en el ar. 81.1 CE. DE LLERA SUÁREZ-BÁRCENA, op.cit. pág. 481.
180
DE LLERA SUÁREZ-BÁRCENA, op.cit. pág. 482.
181
HERNÁNDEZ GUERRERO, Francisco J. Y ÁLVAREZ DE LOS RIÓS, José Luis, «Medios informáticos y
proceso penal» en Estudios Jurídicos del Ministerio Fiscal , op.cit. pág. 497.
182
Téngase en cuenta que las medidas de intervención del correo se están desarrollando de esta manera por la
Policía Judicial. Además, los delitos con ellas investigados no pueden considerarse como delitos graves que
justifican medidas de tan honda intromisión en la vida privada ,atendidas las penas previstas en el Código Penal
(delitos contra la propiedad intelectual, delitos relativos a difusión de material pornográfico de menores).
3. LA INTERVENCIÓN DEL CONTENIDO DE LAS COMUNICACIONES

ELECTRÓNICAS
3.1. Problemas generales de la intervención de las comunicaciones electrónicas

El acceso a las comunicaciones sostenidas por los ciudadanos constituye una de las
medidas más graves que puedan adoptarse en una sociedad democrática, por cuanto suponen
una intrusión subrepticio en uno de sus ámbitos de intimidad. A diferencia de los registros
domiciliarios, las intervenciones de comunicaciones son efectuadas bajo el manto del sigilo y
el secreto 183. Por ello, las medidas que se determinan en las legislaciones procesales son más
estrictas que para el resto de medidas de investigación.
La forma de regulación de estas medidas varía de un país a otro, lo que puede ocasionar
problemas a la hora de adoptar medidas de esta naturaleza en virtud de comisiones rogatorias.
Siguiendo a SIEBER 184 podemos establecer las diferencias en las siguientes características:
El fundamento de protección del secreto de comunicaciones varía desde las
previsiones constitucionales, a la ausencia de toda referencia al secreto de las
comunicaciones, pasando por la protección conferida por la legislación sectorial de
telecomunicaciones.
Las previsiones de intervención de comunicaciones varían igualmente desde las
específicamente destinadas a las comunicaciones electrónicas, las genéricas destinadas
a cualquier tipo de comunicaciones, las referidas a otros medios de comunicación
(fax, telegramas, etc, hasta la ausencia total de previsión. Las medidas de control, por
ello, difieren de forma notable.
Las formas de intervención van desde la simple observación o monitorización de las
comunicaciones hasta la interceptación de las mismas. Esta y la característica anterior
conducen a la posibilidad de denegar la cooperación de los operadores de
telecomunicaciones por la imposibilidad de aplicar la analogía in mala partem
En el Derecho Español, la referencia incluida en el inciso final del art. 579.3 LECr.
permitiría adoptar las medidas de intervención de las comunicaciones electrónicas
actualmente existentes, con todas las salvedades expresadas por el TEDH, condensadas en los
criterios jurisprudenciales a considerar obligatoriamente por los órganos judiciales y fiscales.
Estimamos que, de igual modo, cabría argumentarse acerca de la intervención de señales
de comunicación consistentes en la localización geográfica de un terminal correspondiente a
un implicado en hechos ilícitos graves, por cuanto que no cabe hacer distinción en el
contenido de las comunicaciones, además de que éstas puedan ir acompañadas de la recepción
de contenidos gráficos (mapas, indicaciones sobre alojamientos, señales de SOS) que merecen
la misma protección que las comunicaciones efectuadas a través de mensajería de voz. Como
manifiesta SIEBER, no existe fundamento para conferir a las comunicaciones electrónicas,
con intermediación de máquinas, menos protección legal que a las comunicaciones
directamente mantenidas por dos personas mediante voz.185
183
De hecho, la Circular 1/1999 FGE alude a la necesidad de que el Fiscal reclame la declaración de secreto de
las actuaciones en las que se acuerde la intervención de las comunicaciones, debiendo por ello incrementar el
celo en el cumplimiento de las medidas de garantía.
184
SIEBER, U, op.cit. págs.111-114.
185
SIEBER, U, op.cit., pág. 116
3.2. La intervención de mensajes de correo electrónico

Los mensajes de correo electrónico constituyen una modalidad de comunicación a caballo
entre las comunicaciones telefónicas y las postales.
En un mensaje de correo electrónico se remite un texto escrito 186 a través de las líneas de
comunicación telefónica (o línea específicas de datos, como las RDSI, las ADSL o las de
cable óptico). El mensaje, como las cartas postales, va a parar a un recipiente (mailbox o
buzón de correos) que el prestador de servicios Internet pone a disposición del usuario y que
aquél aloja en su propio servidor de correo electrónico, donde se mantiene hasta que el
usuario lo descarga en su propio ordenador. En este caso, dependiendo de la configuración de
su programa de correo electrónico (cliente de correo), el mensaje puede ser borrado del buzón
una vez descargado, o mantenerse en él por el tiempo que se determine. El acceso al buzón
queda garantizado mediante la petición de una contraseña y un nombre de usuario,
condiciones que han llevado a la jurisprudencia de algún país 187
SIEBER expone las dos posibles aproximaciones al tratamiento jurídico de los mensajes
de correo y de su intervención.
Desde una perspectiva tecnológica es posible diferenciar una fase de envío y una fase
de almacenamiento. En la fase de envío no existe diferencia entre la remisión de un
mensaje de correo que el de otros contenidos, a la vista de la convergencia de las
señales de comunicación, por lo que podría quedar sometida a las normas comunes de
intervención de contenidos. En cambio, los mensajes ya recibidos en el ordenador del
implicado en los hechos investigados quedarían sometidos a las normas relativas al
registro de papeles, documentos y otros efectos personales.
La aplicación de este enfoque permitiría acercar las normas de intervención a la
realidad de la convergencia de las señales de comunicación, de forma que los
mensajes en transmisión serían tratados como una comunicación electrónica más de
contenidos, y los ya recibidos como papeles o documentos, algo que obtiene
reconocimiento en el art. 197.2 CP 188.
Desde una perspectiva funcional, las dos fases descritas constituyen fases de un
mismo proceso comunicativo, por lo que deberían quedar amparadas por las mismas
normas de intervención.
Este acercamiento al problema implica, como afirma el profesor alemán, asumir
el riesgo de una posible actividad de intrusión estatal (hacking estatal), pues de esta
forma podrían llevarse a cabo interceptaciones de mensajes ya recibidos en los
ordenadores personales, vulnerando las normas sobre entradas y registros
domiciliarios. 189
186
A veces se adjuntan ficheros con contenidos diversos, voz, datos, video. El correo electrónico pasa a ser un
soporte tecnológico (el empleo de los protocolos respectivos, SMTP o HTML, si se hace a través de una página
web, como en la mayoría de las direcciones gratuitas ofrecidas por muchos portales) más que un simple mensaje
de contenido. En tal aspecto, no se diferencia de una comunicación electrónica por otros medios (conexiones
FTP, o de transferencia de ficheros).
187
Véase en el apartado de Derecho comparado las referencias al Caso US v. Maxwell en Estados Unidos.
188
Art. 197.1.1º CP: « El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento,
se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos
personales»
189
Este es el enfoque subyacente en el programa propiciado por el FBI americano denominado «Carnivore»
(actualmente DCS1000), diseñado para permitir el acceso de la autoridad policial a cualquier tipo de mensaje de
correo electrónico almacenado en cualquier ordenador personal.
Una forma de obviar estas consecuencias, admitida en alguna intervención

realizada en Alemania, ha sido limitar los actos de intervención de forma singular,
como si de entradas y registros domiciliarios se tratara, de modo que sólo pudiera
realizarse esa invasión en la intimidad domiciliaria en la que se halla el equipo
sometido a investigación en virtud de un mandamiento judicial por cada ocasión 190
Las intervenciones de mensajes desde la perspectiva tecnológica permiten, a su vez, una
diferenciación más. El mensaje puede estar almacenado en el buzón de correo alojado en el
servidor del proveedor de servicios Internet, de modo que puede resultar accesible a la
autoridad pública ordenando a dicho proveedor que emita copia de los mensajes conforma
entren en el buzón, o de los ya existentes. Dicha posibilidad es la aceptada por la Regulation
of Investigation Powers Act británica de mayo de 2000, en cuyo Capítulo II (secs. 21-25)
regula el acceso a datos de comunicaciones distintos de la interceptación de comunicaciones
en curso, relativas a servicios postales o de sistemas de telecomunicación 191. En estos casos,
se consideran datos de comunicación tanto los datos de tráfico contenidos o adjuntos a una
comunicación empleado para los fines del servicio postal o del sistema de telecomunicaciones
empleado 192
Una solución similar podría adoptarse en Derecho Español si se admitiera la aplicación
analógica de los arts. 582 y 583 LECr.193, lo que siempre sería más pertinente que la
aplicación analógica de las normas jurisprudenciales relativas a la intervención de
comunicaciones telefónicas. Además, la exigencia de proporcionalidad en la adopción de
medidas de investigación que restrinjan derechos fundamentales obliga a adoptar la medida y
la forma menos invasiva del derecho; y qué duda cabe de que una modalidad de observación
es menos grave que una medida de intervención, donde se corre el riesgo de captar otro tipo
de señales de comunicación, incluso propias de terceros que no tengan nada que ver con el
afectado investigado.
3.3. Medidas de intervención en el borrador del Convenio sobre el Cibercrimen

El BCCyb es la norma que obligará, caso de ser ratificado por el Estado Español, a
introducir definitivamente las reformas reclamadas de forma unánime por la doctrina y
jurisprudencia nacional y extranjera. Con la inclusión de sus previsiones se dotará a las
autoridades públicas de instrumentos procesales avanzados para la averiguación no sólo de los
delitos informáticos, sino también de aquellos tradicionales cometidos por medio de estos
sistemas, así como cualquier delito en que la prueba tenga formato digital o sea susceptible de
obtenerse por dichos medios 194.
Puede encontrarse documentación sobre este programa en http://uusdoj.gov/criminal/cybercrime

190
SIEBER, U, op..cit. pág. 115.
191
Sec. 21 (1) RIPA.
192
Sec. 21(4) RIPA.
193
Artículo 582: «Podrá asimismo el Juez ordenar que por cualquiera Administración de Telégrafos se le
faciliten copias de los telegramas por ella transmitidos, si pudieran contribuir al esclarecimiento de los hechos de
la causa.»
Artículo 583: «El auto motivado acordando la detención y registro de la correspondencia o la entrega de
copias de telegramas transmitidos determinará la correspondencia que haya de ser detenida o registrada, o los
telegramas cuyas copias hayan de ser entregadas, por medio de la designación de las personas a cuyo nombre se
hubieren expedido, o por otras circunstancias igualmente concretas.»
194
Art. 14 BCCyb.
El BCCyb prevé una serie de medidas aplicables a la obtención de evidencias electrónicas

consistentes en datos de contenidos relacionados con la comisión de un hecho grave. Su
ejecución está sometida al cumplimiento de las mismas garantías que establece el CEDH para
la protección del derecho a la vida privada y a la correspondencia; y, en su caso –atendidas la
naturaleza de la medida y del procedimiento aplicable, así como la naturaleza y circunstancias
del hecho cometido– , al principio de proporcionalidad. 195.
3.3.c) Interceptación de datos de contenido
El BCCyb dedica el Título 5 de la Sección (Legislación procesal) del Capítulo II
(Medidas a adoptar en el nivel nacional) a la Colección en tiempo real de datos informáticos.
En él incluye una previsión específica para la interceptación de datos de tráfico (art. 20), en
tanto que dedica el art. 21 a la interceptación de datos de contenido.
Como pone de relieve la Memoria Explicativa del Convenio (ME) 196, la convergencia de
las telecomunicaciones y la de éstas con la tecnología informática está convirtiendo en
borrosa la distinción entre unas y otras. De esta forma, no resulta extraño que las antaño
denominadas «comunicaciones» hayan visto modificada su expresión por la de «datos de
contenido», que se ajusta más a lo que las señales de comunicación pueden contener. Esto
permite incluir bajo el mismo precepto tanto las comunicaciones informáticas de datos como
las comunicaciones de voz recibidas en un sistema informático, con independencia del
sistema que los origine.
El art. 21 establece la obligación de las Partes contratantes de adoptar las medidas
precisas para posibilitar a sus autoridades, en relación con delitos graves, a:
Captar o grabar mediante medidas técnicas en su territorio y
Obligar a un proveedor de servicios, dentro de su capacidad técnica presente, a
o Captar o registrar mediante la aplicación de medidas técnicas en su territorio,
o Cooperar y asistir a las autoridades competentes en la captación o grabación
de datos de contenido en tiempo real de específicas comunicaciones en su
territorio transmitidos por medio de un sistema informático.
Cuando un Estado, por su derecho interno, no pueda adoptar las medidas previstas en
el primer apartado (captación o registro por las propias autoridades policiales),
aplicará las medidas legislativas o de otra naturaleza pertinentes para asegurar la
captación y grabación de los datos de contenido de específicas comunicaciones en su
territorio.
La ejecución de las medidas se realizará con sometimiento del proveedor de servicios
a la obligación de confidencialidad tanto del hecho como de cualquier circunstancia
relacionada con la medida ejecutada.
Las diferencias entre las legislaciones internas de los países del Consejo de Europa sobre
el tratamiento legal aplicable a los datos de tráfico y a los contenidos, hace necesario
regularlos en apartados diferentes.
195
Art. 15 BCCyb. Esta referencia a la aplicación, en su caso, del principio de proporcionalidad, ha sido
fuertemente criticada por el Grupo de Protección de las Personas en su dictamen 4/2001, que considera que no ha
de admitirse excepción ni opción a su valoración en ningún caso, tal y como parece desprenderse del tenor del
borrador de Convenio.
196
Parágrafo 190 ME.
Los contenidos a captar pueden ser interceptados tanto de redes públicas como privadas
197
. En tal sentido, y a diferencia de lo que ocurre con la legislación sectorial (DT, LGT) que
se refiere a los servicios públicos de comunicaciones electrónicas que operan sobre las redes
públicas de telecomunicaciones, la protección ampara la interceptación de contenidos que
pueda realizarse en el ámbito de una Intranet, o de una red de comunicaciones de una entidad
o empresa.198.
La medida se permite sólo en relación a «específicas comunicaciones en su territorio
transmitida por medio de un sistema informático». La comunicación a través de terminales
habituales de telecomunicación (teléfonos fijos, faxes, teléfonos móviles) parece que no
estarían incluidas en el marco de aplicación de este precepto, lo que no es coherente con la
pretendida neutralidad tecnológica buscada para hacer posible su aplicación a los nuevos
medios y servicios de comunicación electrónica 199. La referencia a comunicaciones
específicas impide su aplicación a sistemas de vigilancia global de las comunicaciones,
actividad denominada COMINT (inteligencia de comunicaciones).
Más difícil es la determinación de cuándo la comunicación se produce en su territorio.
Como a continuación veremos en el Convenio de 29 de mayo de 2000 de la Uinión Europea,
las modernas tecnologías de las comunicaciones permiten establecer comunicaciones desde
un país conectado a una estación de recepción/emisión de las señales vía satélite ubicada en
otro país, o dirigidas a una antena o célula de telefonía móvil existente en otro país (caso de
territorios fronterizos). Parece lógico pensar que la comunicación se produce en el territorio
cuando el sujeto que la efectúa o recibe se halla en el territorio del Estado, con independencia
de dónde se hallen los medios técnicos de transmisión de las señales.
Las intervenciones de contenidos sólo se prevén para la investigación de delitos graves.
La ME refiere los mismos criterios manejados por la doctrina del TEDH para apreciar tanto la
gravedad del delito como igualmente las garantías aludidas por referencia a los arts. 14 y 15
200
3.3.d) Confidencialidad y limitaciones de uso

El art. 27 bis BCCyb establece una norma propia de protección de datos personales
«interna», es decir para cumplir por las autoridades que intervienen en la operación de que se
trate. El precepto se aplicará en defecto de tratado o acuerdo de cooperación entre las partes,
gozando por ello de la condición de regulación subsidiaria de dichos instrumentos de
cooperación 201
197
Par. 191 ME.
198
A tal efecto, el BCCyb ofrece una definición propia de proveedor de servicios en su art. 1.c): «cualquier
entidad pública o privada que provee a los usuarios de su servicio de la capacidad de comunicarse por medio de
un sistema informático, así como cualquier otra entidad que procesa o almacena datos informáticos por tales
servicios de comunicación o de los usuarios de dichos servicios.»
199
¿Cómo deben considerarse categorizados los terminales telefónicos móviles de tecnología GPRS o UMTS,
que permiten el acceso a contenidos y prestaciones de Internet?. Entendemos que la posibilidad de emplear no
terminales, sino protocolos Internet (IPv4 ó 6), hará posible intervenir bajo estos preceptos las comunicaciones
que a través de ellos se emitan o reciban.
200
Pars. 196. y 199 ME.
201
Con ello se pretende someter toda la práctica de medidas de cooperación judicial internacional a las mismas
normas, favoreciendo su conocimiento y ejecución por los órganos encargados de ello. Par. 259.
La provisión de la información y materiales requeridos puede ser sometida por el Estado

requerido a la condición de que se mantenga confidencial 202 o que no sea usada para
investigaciones o procedimientos distintos de aquellos que fueron declarados en la comisión
rogatoria.203 No obstante, esta última condición admite dos excepciones: cuando el material
proporciona pruebas de la exculpación del individuo, así como cuando la información haya
sido empleada en el proceso judicial público que motivó la comisión rogatoria, pues en dicho
caso el material habrá pasado a convertirse de dominio público, no pudiendo asegurarse su
confidencialidad y no posibilidad de alegación en otra causa. 204
Si el Estado requerido no puede cumplir las condiciones impuestas lo pondrá en
conocimiento inmediato del Estado requirente, que determinará si, a pesar de todo, la
información debe ser suministrada.
Recíprocamente, el Estado requerido que provee la información o el material puede
compeler al Estado requirente a que informe acerca del uso dado a tal información o
material.
3.3.e) Medidas provisionales en relación con peticiones de asistencia mutua
Para tal circunstancia, el BCCyb únicamente prevé en su art. 34 que las partes se
proporcionarán recíprocamente asistencia mutua para dichas actividades en la extensión
permitira por sus tratados y legislación interna.
En el caso de los países de la Unión Europea, incluido por supuesto España, la realización
de estas actividades se someterán al art. 1 del Convenio de 1959, la Recomendación R (85) 10
de 26 de julio, y fundamentalmente el Convenio de asistencia judicial penal de 29 de mayo de
2000 205.
3.4. La intervención de comunicaciones telefónicas en el Convenio de la Unión
Europea de asistencia judicial penal
El Convenio UE sobre asistencia judicial penal dedica todo su Título III a la regulación
de la intervención de las telecomunicaciones. Constituye uno de los grandes logros del
Convenio, novedoso en muchos aspectos, que evidencia con ello su visión actualizada de las
medidas precisas de cooperación judicial en un entorno internacional. Entre ellas, la
202
La medida, como indica el parágrafo 260 ME, no puede suponer la imposibilidad de frustrar el resultado de la
medida, impidiendo por ejemplo la utilización en juicio del material empleado.
203
Debido al propósito de favorecer la utilización del material obtenido mediante la cooperación judicial, la
condición ha de ser expresamente invocada por el Estado requerido, dado que no existe una prohibición expresa
de empleo en el Convenio. Par. 261.
204
No siempre será así. El art. 138.2 de la LEC, de aplicación subsidiaria al proceso penal (art. 4 LEC), prevé
que: «Las actuaciones a que se refiere el apartado anterior podrán, no obstante, celebrarse a puerta cerrada
cuando ello sea necesario para la protección del orden público o de la seguridad nacional en una sociedad
democrática, o cuando los intereses de los menores o la protección de la vida privada de las partes y de otros
derechos y libertades lo exijan o, en fin, en la medida en la que el tribunal lo considere estrictamente necesario,
cuando por la concurrencia de circunstancias especiales la publicidad pudiera perjudicar a los intereses de la
justicia.». Por su parte, el art. 140.3, en relación con las actuaciones escritas, prevé que «No obstante lo
dispuesto en los apartados anteriores, los tribunales por medio de auto podrán atribuir carácter reservado a la
totalidad o a parte de los autos cuando tal medida resulte justificada en atención a las circunstancias expresadas
por el apartado 2 del art. 138.». Por tanto, podrán imponerse estas condiciones siempre que, con arreglo al
derecho interno del estado requerido, puedan ser satisfechas.
205
Par. 280 ME
posibilidad de que, a consecuencia de los nuevos medios tecnológicos 206, el Estado en que se
halle el individuo sometido a la medida sea incapaz técnicamente de poder realizar por sus
propios medios la intervención. De igual modo, un país puede intervenir las comunicaciones
de una persona que se halle en el territorio de otro sin requerir su participación ni auxilio.207
En el objeto de intervención, el Informe explicativo alude al empleo del término
telecomunicaciones para abarcar todas las posibilidades actuales y futuras de comunicaciones.
Dicha referencia incluye los datos de tráfico anexas a dichas comunicaciones.
Las previsiones de este Titulo vienen a derogar parcialmente las del Convenio de 1.959
cuando se trate de comisiones rogatorias que tengan por objeto la realización de
intervenciones de comunicaciones, como era el caso del art, 18, relativo al contenido de la
comisión rogatoria, que deberá cumplir los requisitos del nuevo art. 18.
La regulación que contiene el Convenio es muy compleja tecnológicamente, pues abarca
dos modalidades (la intervención y transmisión inmediata; y la intervención, grabación y
posterior transmisión, art. 18.1), y varias posibilidades tecnológicas (que pueda desarrollarse
la intervención mediante la intervención del Estado requerido, sin la intervención de éste por
medios propios, o mediante la intervención de un tercer Estado a través de los medios
tecnológicos instalados en éste).
El criterio de conexión para la determinación de la competencia para su ejecución está
previsto en el art. 18.2: la localización del afectado bien en el Estado requirente o en el
Estado requerido.
Las peticiones deberán incluir la identificación tanto de la persona afectada como de la
autoridad que autoriza la medida, la conducta perseguida, la duración deseada de la
intervención, y los datos técnicos suficientes para proceder a la intervención. Cuando se
pretenda la intervención en el Estado requerido de una persona que se halle en su territorio, el
art. 18.4 exige además acompañar un resumen de hechos, a fin de permitir valorar si se
hubiera adoptado dicha medida en un caso nacional.
La medida se adoptará –art. 18.5– de forma automática cuando se trate de peticiones de
asistencia técnica para practicar la intervención en el Estado requirente o en un tercer país; y
se supeditará al examen del Derecho interno en caso de que la persona se hallare en el
territorio del Estado requerido.
Se podrán solicitar transcripciones de la grabación. Para ello, el Estado requirente deberá
dar las explicaciones pertinentes para acreditar la necesidad de éstas.
Todo el material deberá tratar la información con carácter confidencial, de acuerdo con su
Derecho interno. Ello obligará a dictar las normas sobre secreto de actuaciones (art. 301 y 302
LECr., así como 140.2 LEC). No se establece el plazo de confidencialidad a mantener por el
Estado requirente, por lo que parece que bastará el cumplimiento de los plazos determinados
por el Derecho interno.
El art. 19 hace referencia a la utilización de «mandos a distancia» en las intervención de
comunicaciones víua satélite. La expresión empleada en el Convenio sirve para designar a los
dispositivos técnicos que permiten el envío a su territorio desde una estación terrestre
(pasarela) de recepción de señales de satélite no instalada en su territorio, a través de un
proveedor de servicios de comunicaciones que mantiene un establecimiento en su territorio.
206
La telefonía vía satélite –IRIDIUM–, o las tecnologías de tercera generación UMTS, que permiten conexiones
IP.
207
Véase en detalle el informe explicativo del Convenio, DOCE C 379 29/12/2000, pág. 0007.
En estos casos, el art. 19 establece la posibilidad de garantizar al Estado requirente la

capacidad técnica (la instalación del «mando a distancia») que les permita realizar la
intervención de las comunicaciones de las personas que se hallen en su territorio, sin
necesidad de contar con la asistencia del Estado en que se halle la estación terrestre desde la
que se reciben las señales. Se trata, pues, de permitir a un Estado aprovecharse de las
facilidades técnicas de intervención de otro Estado miembro, sin recurrir al Estado en que se
halle la estación terrestre o la pasarela de comunicaciones de la que se sirve el afectado por la
intervención.
La utilización de dichos «mandos a distancia» se halla limitada de la siguiente forma (art.
19.2):
Sólo podrán ser acordadas de acuerdo con el Derecho interno del Estado que se sirva
del mando.
Sólo podrán intervenirse las comunicaciones realizadas por personas sometidas a un
procedimiento penal propio que se hallen en su territorio.
Será posible también cuando la intervención en el Estado que dispone del «mando a
distancia» sea para beneficio de otro Estado, y el sujeto investigado se halle en el
territorio del primero (art. 19.3).
La utilización de este sistema por el Estado requerido es voluntaria, no existiendo
obligación bajo el Convenio para autorizarlas.
El Estado requirente (que cuenta con un «mando a distancia») podrá dirigir al Estado
en que se halle la estación terrestre o pasarela de comunicaciones una petición de
asistencia técnica, cuando no exista en su territorio una delegación del proveedor de
servicios. 208
El art. 20 regula las intervenciones que pueden realizarse directamente por un Estado sin
la participación de otro, en el que se halla la persona cuyas comunicaciones se intervienen.
Este supuesto sólo es admisible, de acuerdo con el párrafo 1º, cuando la intervención sea
«consecutiva a la comisión de una infracción penal específica». En una compleja normativa,
se especifican la información a proporcionar, el momento, las condiciones que pueden
imponerse, los plazos para cumplirlas, las medidas provisionales y las obligaciones de
confidencialidad.
El Título se completa con una previsión de asunción de los costes de la medida por el
Estado requirente, así como sobre la posibilidad de establecer acuerdos bilaterales o
multilaterales de cooperación en esta materia.
Por último, debe destacarse que, como efectúa el BCCyb., también en el presente
Convenio se incluyen normas sobre protección de los datos de carácter personal que se
transmiten a consecuencia de la ejecución de las comisiones rogatorias que tengan por objeto
la intervención de comunicaciones (art. 23). La batería de previsiones incluye la obligación de
208
En este caso, de acuerdo con el art. 18.2.a), el Estado que posee el mando a distancia no se halla en condición
de solicitar la asistencia de otro Estado (el que aloja la estación terrestre) por cuanto ya posee medios técnicos
para realizar por sí la intervención. Sin embargo, con el empleo de la telefonía móvil por satélite, el usuario
puede desplazarse por diversos países que se hallan bajo la cobertura del satélite. En estos casos, en vez de dictar
tantas órdenes de intervención como países visite (el criterio de competencia lo determina, no olvidemos, la
localización del sujeto investigado), se permite solicitar la asistencia técnica del país en que se halla la estación
terrestre, solicitándole (a pesar de contar con el mando a distancia, que sólo puede emplear para las
intervenciones de comunicaciones de personas que se hallen en su territorio) que intervenga las comunicaciones
que pueda captar la estación terrestre.
cumplir determinadas limitaciones de uso y de explicar el uso dado. De dichas normas se

excluyen los datos que tengan su origen en el propio Estado, como pudieran ser –
entendemos– los originados en comunicaciones intervenidas mediante los dispositivos de
«mando a distancia» a que se ha hecho referencia.
4. ACCESO A DATOS PERSONALES ASOCIADOS A LAS
COMUNICACIONES
4.1 Acceso a los datos de tráfico

Durante todo este estudio hemos venido afirmando, con la doctrina consolidada del
TEDH, la consideración de los datos de tráfico como parte del contenido de las
comunicaciones electrónicas.
La progresiva adopción de las tecnologías informáticas para la gestión de la
comunicaciones supone no sólo la digitalización de la señales en que consiste la
comunicación en sí, sino en la incorporación a éstas de «cabeceras de datos», que incluyen
señales o datos de identificación de las personas que en ellas intervienen, precisas para el
encaminamiento de los mensajes a través de diversas redes de comunicación interconectadas.
Por ello, todas las consideraciones anteriormente expuestas tanto en la Parte I como en la
Parte II acerca del contenido de las comunicaciones, el régimen de acceso y los instrumentos
procesales diseñados para hacerlo posible son totalmente aplicables a cuanto a continuación
expondremos sobre esta categoría de datos.
No obstante, sí es preciso aludir a las especiales figuras procesales previstas en el
BCCyb. Para hacer posible la investigación de delitos en que se halle implicado un
procesamiento de datos, ya sea en su averiguación, perpetración o enjuiciamiento.
3.3.a) Preservación anticipada de datos informáticos almacenados
El art. 16.1del BCCyb. compele a las Partes contratantes a adoptar las medidas necesarias
que permitan a sus autoridades competentes ordenar u obtener de otro modo la conservación
o preservación anticipada de datos informáticos, incluidos los datos de tráfico, que hayan sido
almacenados por medio de sistemas informáticos, en particular cuando exista fundamento
para considerar que son particularmente susceptibles de pérdida o modificación.
El apartado 2º del precepto determina, a su vez, la adopción de medidas para obligar a la
persona que almacena los datos o que los mantiene bajo su control a mantener la integridad de
los mismos durante un período adecuado de tiempo para que las autoridades puedan realizar
el acceso a los mismos.
El apartado 3º permite imponer a los proveedores de servicios la obligación de mantener
la confidencialidad de la adopción de las medidas por un período determinado, que se fijará
por la ley nacional.
Por último, el apartado 4º somete la adopción y ejecución de estas medidas a las garantías
y salvaguardias previstas en los arts. 14 y 15.
El BCCyb. contiene, además, una prescripción especial para la preservación y
comunicación parcial anticipada de los datos de tráfico. El art. 17 determina que, en relación a
los datos de tráfico asegurados por la medida del art. 16. se asegurará su cesión con
independencia de que se vean envueltos en la comunicación uno o varios servicios de
comunicación; así como la comunicación de una cantidad de datos de tráfico suficiente para
permitir a las autoridades identificar el proveedor de servicios y la ruta a través de la cual fue
transmitida la comunicación.
La disposición diseña una medida cautelar previa a la adopción de otras medidas de

intervención, precisa por la volatilidad de estos datos esenciales para la investigación de una
criminalidad basada en la interposición de máquinas y líneas telefónicas que pueden
pertenecer a titulares distintos y hallarse en lugares distintos. El volumen ingente de estos
datos implica, además, un incremento del riesgo de destrucción, dado que su conservación
generalizada y periódica carece de valor para los operadores de red y servicios de acceso,
quienes sí mantienen cierta cantidad (los datos de facturación) para los fines de reclamación
del pago del coste del servicio a sus clientes.
La primera cuestión que debe ser estudiada es si estos artículos imponen a los
proveedores de servicios 209 la obligación añadida de conservar de forma sistemática los
datos de tráfico generados por los usuarios durante sus actividades de comunicación. Esta
previsión fue incluida se desprendía de los arts. 17, 18, 24 y 25 del Borrador nº 19, y suscitó,
una vez abierto en el segundo semestre de 2000 un período de consulta pública sobre el
Convenio, la unánime condena de entidades públicas y privadas de la comunidad
internacional 210.
El art. 16 expresa que esta obligación de preservación anticipada sólo afectará a los datos
«que hayan sido almacenados por medio de sistemas informáticos», lo que implica claramente
que no siempre se dispondrá de dichos datos, dado que las prácticas comerciales o las propias
normas sobre protección de datos personales en materia de comunicaciones no impongan tal
obligación 211.
Ante la dificultad de distinguir la preservación de la retención, y por ello la medida delñ
art. 16 y la del art. 20 (colección de datos de tráfico en tiempo real), la ME señala las
diferencias entre ambos términos 212 Así, mientras que preservación (preservation) alude al
mantenimiento en condiciones seguras de los datos ya almacenados o registrados, la retención
(retention) implica el proceso mismo de recogida para el posterior almacenamiento de los
datos, lo que constituye una medida de colección de datos sometida al art. 20 BCCyb.
209
De acuerdo con la definición de proveedor de servicios que contiene el Convenio, no parece que en esta
categoría deban quedar incluidas las personas y entidades que suministran contenidos a través de las redes, a
quienes sí les afectará las obligaciones de identificación que más adelante estudiaremos establecida por la
Directiva 2000/31/CE, relativa a los aspectos jurídicos de los servicios de la sociedad de la información y el
comercio electrónico.
210
Aparte del ya mencionado Dictamen 4/2001, de 22 de marzo, del Grupo de Protección de las Personas,
pueden citarse las Cartas abiertas remitidas desde GILC (Global Internet for Liberty Campaign, Campaña por la
Libertad Global en Internet) de 13 de octubre y 12 de diciembre de 2000; http://www.gilc.org/privacy/coe-letter-
1200-es.htm y ; http://www.gilc.org/privacy/coe-letter-1000-es.htm.
211
El art. 6.1 DT establece, como ya dijimos, que los datos de tráfico serán borrados una vez concluya la
comunicación, no obstante, el párrafo 4º sí admite la posibilidad de su comunicación a la autoridad judicial.
Recordemos que, según el art. 14, la DT no se aplica a las actividades de investigación y aplicación de la ley
penal, por lo que una norma procesal o relativa a la actividad policial podría imponer una condición contraria,
siempre referida a un sujeto concreto cuyas comunicaciones fueran objeto de seguimiento u observación.
212
Par. 136-137 ME.
El parágrafo 138 ME también aclara que esta facultad no implica la restricción añadida a
los proveedores de impedir u ofertar servicios de acceso anónimos que no permiten su
aplicación.
La medida se justifica por el Grupo de Delitos Informáticos elaborador del Borrador
sobre la base de los siguientes argumentos 213:
Es una medida menos perjudicial para el sujeto investigado y para los operadores de
servicios que la realización de una orden de registro y comiso de datos, prevista
también en el BCCyb. (art. 19).
La identificación de las fuentes de origen de las comunicaciones informáticas pueden
constituir una herramienta esencial para la averiguación de la identidad de los
autores de delitos informáticos o relacionados con las tecnologías de la información.
La preservación de esta información constituye un útil instrumento para el
aseguramiento de pruebas críticas para los procesos penales contra los autores de los
hechos.
La preservación no implica, como analiza la ME, una «congelación» de los datos,
haciéndolos inaccesibles para cualquier otro uso. Únicamente exige su mantenimiento,
permitiéndose otros usos legítimos por el proveedor o por quien realice por él el tratamiento
de almacenamiento, o incluso la realización de copias de los mismos. No obstante, la
adopción de una medida de esta naturaleza supondrá una obligación de colaboración
manifestada en el deber de mantener la confidencialidad de la intervención acordada, para
garantizar la eficacia de la medida y los posibles deterioros y modificaciones de la
información preservada 214.
Nada se explicita acerca de la duración de esta obligación, que el BCCyb. deja a la
determinación del Derecho interno. No obstante, cuando regula la medida como provisional a
la ejecución de una petición de asistencia judicial internacional, el art. 30 hace referencia al
mantenimiento de la medida al menos por sesenta días.
Específicamente destinada a tratar aspectos derivados de la naturaleza de los datos de
tráfico, el art. 17 determina la posibilidad de ordenar al proveedor de servicios la
comunicación a la autoridad competente los datos precisos para averiguar otros proveedores
que hayan participado en la transmisión así como la ruta de esta, permitiendo así
recomponer el recorrido de las comunicaciones y llegar a los autores del hecho. La autoridad
investigadora deberá indicar los datos concretos a comunicar, pudiendo dictarse la orden bien
conjuntamente para todos los proveedores que resulten identificados sucesivamente, bien de
forma individualizada para cada uno de ello conforma vayan siendo conocidos. O incluso
cabe pensar en la posibilidad de la comunicación entre proveedores en orden a cumplir
voluntariamente la orden, no borrando los datos en el plazo habitual sino tras el determinado
por la orden de preservación 215.
3.3.b) Colección o registro de datos en tiempo real
El art. 20 BCCyb. se dedica al delicado problema de la interceptación de datos de tráfico
en tiempo real, esto es, en el curso de la comunicación. En la terminología de la LECr.,
constituiría una medida de observación de las comunicaciones del imputado.
213
Par. 140 ME.
214
En el par. 147 se recoge también al interés en mantener la protección de la intimidad de las personas aludidas
en las comunicaciones.
215
Par. 152 ME.
El BCCyb. se propone dotar a las autoridades competentes para la investigación de los

poderes que les aseguren
bien la grabación o colección mediante la aplicación de mecanismos técnicos
instalados en su territorio,
u obligar a los proveedores de servicio –dentro de sus capacidad técnica existente– a
o coleccionar o grabar a través de la aplicación de medidas técnicas,
o o cooperar y asistir a las autoridades competentes en la colección o grabación
de datos de tráfico en tiempo real, asociados con comunicaciones específicas
en su territorio, transmitidas a través de sistemas informáticos.
Si las normas internas no permiten a las autoridades competentes proceder por ellas
mismas a la colección o grabación, se adoptarán las medidas oportunas para asegurar que
pueda realizarse mediante la aplicación de medidas técnicas desde su territorio.
La ejecución de esta medida se acompaña de las mismas cautelas de confidencialidad y
salvaguardia aludidas en el art. 16.
Deben destacarse varios aspectos.
Vuelve a incluirse en esta versión del borrador una referencia a que las medidas de
intervención se refieren siempre a comunicaciones específicas, evitando las dudas
acerca de la posible utilización de estas normas como fundamento legitimador de una
vigilancia global predelictual de las comunicaciones electrónicas.216
Las comunicaciones objeto de intervención son las generadas en el territorio del
Estado que aplica las medidas, con independencia de que tenga capacidad para
intervenir comunicaciones fuera de su territorio. 217
No se trata de cualquier comunicación electrónica, sino las realizadas entre sistemas
informáticos. Sí podrán tener cualquier contenido, incluso telefonía de voz.
La obligación de confidencialidad abarca tanto el mero hecho de la realización de la
medida como cualquier información relacionada con la misma. La medida puede ser
satisfecha mediante la introducción de una obligación específica de confidencialidad
hasta por la mera existencia de tipos penales que sancionen la desobediencia a
mandatos judiciales en el curso de una investigación oficial 218
A diferencia de lo que sucedía en el art. 21 referido a intervenciones de contenidos, la
medida del artículo 20 no se ciñe a las categorías de delitos previstas en la
Convención, en su capítulo I. Como esta previsión, y el entendimiento de que los
datos de tráfico, como parte del contenido de las comunicaciones, se ven sometidos a
las mismas garantías –entre ellas la de ejecutarse únicamente para la investigación de
216
La referencia en plural a las comunicaciones específicas se incorpora para hacer posible someter a estas
medidas a las conexiones que requieren varias comunicaciones entre sí, por pasar por varias redes («hits»). De
no incluirse esa referencia a la pluralidad de conexiones en que puede consistir una comunicación, la medida no
podría aplicarse sino a una de ellas, deviniendo inútil para su objetivo de trazar la ruta desde el objetivo atacado
(ordenador, terminal de telecomunicación) hasta el equipo del autor del hecho.
217
No obstante, la superposición de este convenio con el de 1.959 y con el Convenio regional de la Unión
Europea de 29 de mayo de 2000, que tiene por objeto complementar al segundo, hará posible la intervención de
comunicaciones informáticas transmitidas por vía satélite mediante la aplicación del procedimiento del art. 19
antes estudiado, así como la realización de la medida sin intervención del Estado del que parte la comunicación
si se tratara de una investigación inmediatamente consecutiva a la perpetración del hecho.
218
Par. 210 ME.
delitos graves– el Convenio permite la formulación de una reserva al respecto, en

orden a limitar el alcance de aplicación de esta medida a dichos delitos. EL Consejo de
Europa, de todos modos, en aras de proporcionar una base para una cooperación
judicial penal lo más amplia posible, requiere a las Partes a interpretar de la forma más
amplia posible esta medida 219.
En el caso del Derecho español, estimamos que dicha medida podría ser hoy día posible
hoy al amparo del art. 579.3, que permite la observación de cualquier tipo de comunicación de
la que se valga la persona contra la que se aprecien indicios de responsabilidad criminal.
Queden, no obstante, reiteradas las dificultades de sostener medidas restrictivas sobre el art.
579 LECr., notoriamente inconsistente con el régimen admitido de intervención de las
comunicaciones.
Esta intervención de comunicaciones implica, lógicamente –de acuerdo con el art. 18.3
CE– que sólo mediante autorización judicial podrá procederse al registro de datos de tráfico
asociados a comunicaciones electrónicas, sin que les sean aplicables las facultades que sobre
la comunicación de datos personales se confieren al Ministerio Fiscal en el art. 11.2.d)
LOPDP y a la Policía en el art. 22 de la misma norma.
3.3.d) Medidas provisionales en casos de asistencia judicial internacional
En equivalencia a la regulación de las medidas en el ámbito interno, los arts.29 y 33
previenen la aplicación de las medidas antes estudiadas con carácter previo y cautelar a la
realización de una petición de asistencia penal internacional.
El art. 29 establece las normas reguladoras de las peticiones de preservación anticipada –
que afecta a datos de tráfico, como referían los arts. 16 y 17– . En este caso, la Parte
requirente que pretenda una posterior entrega, comunicación, o registro e intervención de
datos almacenados en un sistema informático que se halle en el territorio de la parte requerida
incluirá en su petición la autoridad que la solicita; el delito que persigue –acompañado de un
resumen de los hechos–; los datos almacenados que han de ser preservados; la justificación de
su relación con los hechos; cualquier información que proporcione apoyo a la identificación
del agente o custodio de dichos datos o para la localización del sistema informático en
cuestión; la justificación de la necesidad de la preservación, así como la declaración de que la
Parte requirente se propone formular una petición de asistencia mutua para la búsqueda,
intervención o comunicación de los datos en cuestión.
La Parte requerida adoptará las medidas adecuadas para garantizar la preservación de
acuerdo con sus normas internas.
Se regulan diversos supuestos de rechazo de la petición de auxilio internacional:
Por la creencia de que, en relación a otros delitos distintos de los establecidos en los
arts. 2 a 11 del BCCyb., no podrá cumplirse la condición de doble incriminación
exigida para la colaboración internacional.
Tal y como se desprende del art. 29.3, si la petición se refiere a los delitos
incluidos en la Convención, la ejecución será automática. Sólo es posible rechazarla
en caso de delitos tradicionales cometidos por medios informáticos 220
219
Par. 198 ME.
220
Caso de las amenazas o injurias cometidos por correo electrónico o por difusión en una página web, o a través
de un foro de noticias.
La ME indica, en su parágrafo 268, la tendencia a eliminar el requisito de la doble incriminación para la
ejecución de peticiones de cooperación consistentes en medidas poco intrusivas, como pudieran constituir estos
Porque la petición se refiere a un delito que la Parte requerida considera un delito

político o conexa con un delito político.
Porque la Parte requerida considera que la ejecución de la medida es contraria o
perjudicial al ejercicio de la soberanía nacional, el orden público u otros intereses
esenciales.
El Grupo de Protección de las Personas, en su Dictamen 4/2001, de 22 de marzo, reclamó
la inclusión como motivo de rechazo la oposición a las normas internas en materia de
protección de datos personales. O, subsidiariamente, la consideración amplia del concepto de
orden público para entender incluido en él dichas normas en cuanto reguladoras de un derecho
fundamental en la sociedad democrática.
Si la Parte requerida estima que la medida no asegurará la futura disponibilidad de la
información o se verá amenazada su confidencialidad, o pueda perjudicarse de otra forma la
investigación penal desarrollada por el Estado requirente, deberá comunicársela de la forma
más rápida, la que decidirá si a pesar de todo debe cumplimentarse la petición.
Por último, el párrafo 7º establece el límite mínimo de sesenta días desde la recepción de
la petición para el mantenimiento de la medida cautelar. Durante ese plazo, el Estado
requirente habrá de remitir la petición de cooperación judicial para realizar la búsqueda e
intervención o para reclamar la comunicación de los datos investigados.
Por su parte, el art. 33 establece la medida paralela a la prevista en el art. 17, esto es, la
petición de comunicación o revelación de datos de tráfico con independencia del número de
proveedores de servicios implicados en la comunicación, que permita a la autoridad requirente
identificar los proveedores actuantes en la comunicación intervenida, así como su ruta, a fin
de poder solicitarles las medidas de investigación que procedan.
4.2. El acceso a los datos de cifrado de las comunicaciones

4.2.a) Planteamiento
Frente al panorama tecnológico de las redes abiertas, por donde circulan ingentes
cantidades de datos personales a través de miríadas de equipos informáticos; frente a un
panorama legal todavía poco homogeneizado en cuanto a la protección penal y convencional
de la protección de datos personales, las agencias gubernamentales y los organismos
internacionales sostienen una soterrada –aunque poco a poco más difundida– contienda por el
establecimiento y reconocimiento generalizado bien del derecho a utilizar libremente los
productos criptográficos que se deseen para proteger la información personal transmitida a
través de las redes, bien para imponer una política de sumisión del empleo de esos productos
al previo control de las fuerzas del orden.
En la lid se hallan implicados no sólo intereses de seguridad ciudadana. El comercio
electrónico también se halla condicionado por el esquema regulativo que se adopte 221, puesto
que de él depende no sólo la libre circulación de productos de cifrado, sino la propia
confianza en los mecanismos de pago on-line.
casos –si se las compara con las órdenes de registro e intervención–. Además, puede necesitarse tiempo y
análisis de la información –que puede alcanzar volúmenes elevados– para determinar desde el Estado requirente
la existencia de dicho requisito, pudiendo entretanto perderse unos datos de por sí volátiles.
221
Estudios en profundidad sobre el panorama regulador de la criptografía pueden consultarse en GALINDO,
Fernando, Derecho e Informática, Madrid, 1.998; y La admisión como prueba en juicios de carácter penal de
documentos electrónicos firmados digitalmente (Informe sobre el proyecto Aequitas) Julio 1.998.
También la protección de los derechos humanos se ve fuertemente condicionada por la

política criptográfica. En efecto, la protección de los activistas en materia de libertades
fundamentales depende en muchas situaciones de la preservación de su identidad y de sus
comunicaciones frente a las agresiones que sufren en sus propios países a cargo de las fuerzas
del orden. Sólo el empleo de estas herramientas pueden asegurar la comunicación con el
exterior –y con ello, la difusión de la situación real de las violaciones producidas a los
derechos humanos– y la salvaguardia de sus propias vidas. 222
El empleo de criptografía fuerte223 constituye la única herramienta disponible en manos
de los particulares para poder garantizar la completa privacidad de sus comunicaciones a
través de redes abiertas 224. Pero ello supone proporcionar un ámbito absoluto de libertad del
que no se dispone en relación con otras garantías fundamentales 225.
Este interés en la criptografía se ha manifestado en las diversas posturas adoptadas por
los países de nuestro entorno acerca de este delicado asunto.
4.2.b) Políticas criptográficas en Derecho Comparado
La OCDE publicó en una Recomendación en relación con las directrices para una
política criptográfica, de fecha 27 de marzo de 1.997, en la que exponía los criterios básicos a
seguir por los Estados a la hora de regular su posición legal sobre este tema.
La directriz 5.2 establecía la libertad de elección de métodos criptográficos, debiendo los
gobiernos emplear los mínimos controles posibles para respetar la opción del ciudadano. Por
su parte, la 5.5 reiteraba la obligación de respetar los derechos fundamentales de las personas
a la intimidad, incluyendo el secreto de las comunicaciones y la protección de datos
personales.
En cuanto al polémico acceso legal, la directriz 6 determina, de forma neutra que «Las
políticas criptográficas nacionales pueden permitir un acceso legal a texto en claro o a claves
criptográficas, de los datos cifrados. Estas políticas deben respetar el resto de los principios
que forman parte de las directrices en la mayor medida posible». La OCDE muestra su
preocupación por los costes de un posible sistema de recuperación de claves, así como el
peligro que puede suponer para el respeto del derecho al secreto de las comunicaciones,
rechazando por ello el denominado «key escrow», o política de depósito de claves.
A diferencia de la opción tácita de la OCDE, de imponer el acceso al texto en claro 226,
los Estados Unidos no han determinado aún su política criptográfica, a pesar de los intentos
de la Administración Clinton de imponer el sistema de «Clipper Chip» y de «Key recover».
Mediante el primero de estos sistemas se pretendía implantar un microprocesador en todos los
equipos susceptibles de emplearse en telecomunicaciones para poder acceder al cifrado de sus
comunicaciones. Con la política de Key Escrow o Key Recover, la intención pretendida era la
222
POKEMPNER, DINA, Encryptation in the service of Human Rights,
http://www.aaa.org/spp/dspp/cstc/briefing/crypto/dinah.htm
223
Se habla de criptografía fuerte para referirse a aquellos productos hardware o software dotados de unos
algoritmos de cifrado lo suficientemente potentes a ataques de descifrado como para poder considerarse seguros
dentro del estado actual de la tecnología.
224
Recordemos que, como estudiamos en la regulación de protección de datos el art. 26 RMS exige su empleo
para las telecomunicaciones de datos personales de alto nivel de seguridad (art. 26).
225
DENNING, Dorothy E., «To tap or not to tap», en Comm. Of the ACM, Vol. 36, nº 3, Marzo 1993.
226
Como define la Recomendación de la OCDE, texto en claro es «datos inteligibles»
de establecer un organismo de depósito de claves privadas de confidencialidad que

permitirían a los agentes del orden, mediante mandato judicial, acceder a las comunicaciones
del sujeto investigado. La presión de las organizaciones civiles así como de la industria
informática han podido paralizar los intentos de control criptográfico. No obstante, la ley
CALEA sí impone a los proveedores de servicio la obligación de proveer a los agentes del
orden de la capacidad técnica precisa para acceder al texto de una comunicación cifrada,
siempre que los medios de cifrado hayan sido puestos a disposición del usuario por el
proveedor de servicios.
Estados Unidos ha favorecido la consideración de los productos criptográficos como
tecnologías de doble uso, impulsando la aprobación de un instrumento legal internacional, el
Tratado de Wasenaar de 1.996 –del que forman parte los miembros de la Comunidad
Europea– con el fin de controlar la exportación a determinados países. No obstante, las
propuestas comunitarias 227 abogan en primer lugar por una diferenciación entre criptografía
para propósitos de integridad (la empleada en la firma electrónica) y para propósito de
confidencialidad; y en segundo, por una liberalización de las exportaciones, sometidas a mera
comunicación.
El único país que ahora mantiene una política de «key escrow» es Francia. A pesar de
que por Ley de la presidencia de 26 de julio de 1.996 se garantiza la protección de la
información y el desarrollo de las comunicaciones seguras en las transacciones, mediante dos
leyes posteriores se exige el depósito de las claves de confidencialidad por motivos de
seguridad nacional. Estos planteamientos, como pone de manifiesto la oficina STOA del
Parlamento Europeo 228, ponen en peligro el nivel de cumplimiento de la República Francesa
de los criterios de la Directiva 95/46/CE y la 97/66/CE, al reclamar ambas la adopción de
cuantas medidas técnicas se precisen, dentro del estado de la técnica, para garantizar la
confidencialidad y seguridad de las comunicaciones y de los datos personales.
La apertura hacia la corriente marcada por la OCDE como alternativa se halla recogida en
la legislación británica. La RIPA se dedica a este tema en las secciones 49 a 54, siendo la
primera la que determina la obligación de entrega de las claves o del texto en claro a quien las
tenga legítimamente en su poder, y la sección 51 la que establece una sanción penal para su
incumplimiento.
4.2.c) La legislación española
El legislador español ha dejado apuntada su intención en el art. 52 LGT.:
1. Cualquier tipo de información que se transmita por redes de telecomunicaciones, podrá
ser protegida mediante procedimientos de cifrado. Podrán establecerse condiciones para
los procedimientos de cifrado en las normas de desarrollo de esta Ley.
2. El cifrado es un instrumento de seguridad de la información. Entre sus condiciones de
uso, cuando se utilice para proteger la confidencialidad de la información, se podrá
imponer la obligación de notificar bien a un órgano de la Administración General del
Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado
utilizado, a efectos de su control de acuerdo con la normativa vigente. Esta obligación
afectará a los fabricantes que incorporen el cifrado en sus equipos o aparatos, a los
operadores que lo incluyan en las redes o dentro de los servicios que ofrezcan y, en su
caso, a los usuarios que lo empleen.
227
Hacia un marco europeo para la firma digital, COM (1998) 258 final. Y Dirctiva 1999/93/CE, de 15 de
diciembre, sobre firma electrónica.
228
STOA, «Development of surveillance technology and risk of abuse of economic information», Part. 1/5.
3. Los operadores de redes o servicios de telecomunicaciones que utilicen cualquier

procedimiento de cifrado deberán facilitar a la Administración General del Estado, sin
coste alguno para ésta y a efectos de la oportuna inspección, los aparatos descodificadores
que empleen, en los términos que se establezcan reglamentariamente.
Como puede apreciarse en este precepto, el Gobierno español se reserva la posibilidad de
imponer una política de depósito de claves, al prever la posibilidad de imponer la obligación
de notificar (o entregar) los algoritmos de cifrado o cualquier otro procedimiento de cifrado
(las propias claves) para su control. Esta imposición abarca a los usuarios, de modo que
permite una política de recuperación de claves como la diseñada en Estados Unidos y la
vigente en Francia.
El apartado tercero es un paralelo de las prescripciones de la ley CALEA norteamericana,
basada en la Resolución 12/01/1995 de la Comisión Europea.
La regulación del fichero «usuarios de sistemas electrónicos, informáticos y telemáticos»
de FNMT 229 sí prevé la posibilidad de entrega de la claves de confidencialidad, aparte las de
firma 230, sin determinar su régimen de entrega. Parece quedar, por tanto, sometido a los
criterios determinados en el art. 22 LOPDP relativos a ficheros policiales. Mas entendemos
que la relación de las técnicas de cifrado con las comunicaciones que pretende salvaguardar
convierte a dichos datos en datos atinentes al contenido, amparados en el secreto de
comunicaciones 231, puesto que sin las claves no puede accederse a éste. Esta relación implica
que su acceso sólo debe estar permitido a la autoridad judicial en el curso de una
investigación penal, mediante auto motivado.
La legislación penal española no permite la aplicación de los tipos de desobediencia a
quienes no entreguen a la autoridad judicial sus claves de confidencialidad o el texto en claro
de una comunicación cifrada, al igual que efectúa la sección 49 RIPA. Ha de tenerse en
cuenta la introducción del art. 379 en el CP de 1.995 para comprobar que no basta la voluntad
del juez para crear mandatos sobre obligaciones incluso previstas en el ordenamiento jurídico
extrapenal, como la obligación de sometimiento a pruebas de alcoholemia. Es precisa la
previsión expresa de una modalidad de desobediencia al cumplimiento de una orden judicial
que compela a su titular a la entrega de las claves de confidencialidad 232.
Lo que sí sería posible sería la atenuación de la pena de quienes entregaran, en relación
con delitos de tráfico de drogas o relacionado con la actuación de bandas armadas o elementos
terroristas, dichas claves o los textos en claro de comunicaciones relacionadas con los hechos,
al amparo de los arts. 376 y 579, respectivamente, en la modalidad de colaboración para la
obtención de pruebas decisivas para la identificación o captura de otros responsables.
229
Orden del Ministerio de Economía y Hacienda de 26 de julio de 1.999.
230
«La cesión de la clave privada de confidencialidad, únicamente tendrá lugar para la salvaguardia de intereses
dignos de protección que exijan el conocimiento de este dato.»
231
Al fin y a la postre su uso es legítimo, de acuerdo con el art. 52.1 LGT, para asegurarlas. De nada serviría
dicha declaración si el dato personal en que la clave de confidencialidad consiste pudiera ser tratado como u dato
inocuo más.
232
Otra cosa podría afirmarse de los que las tuvieran en su poder, quienes sí podrían incurrir en delito de
encubrimiento si tuvieran conocimiento del hecho cometido por el culpable y le auxiliaran «ocultando, alterando
o inutilizando el cuerpo, los efectos o los instrumentos de un delito, para impedir su descubrimiento (art. 451.2
CP).
4.3. El acceso a los datos de suscripción

Ya expusimos en un principio del estudio la definición incluida por el BCCyb. sobre los
datos de suscripción. Se trataba de los datos personales recabados o en poder del proveedor de
servicios por virtud del contrato de suministro o por cualquier otro acuerdo con el abonado.
Dichos datos no son sino datos personales ordinarios sometidos al régimen general de
cesión de datos personales 233. No obstante, como quiera que en algunos países las normas
reguladoras del régimen de protección de datos personales no incluyen normas legitimadoras
de la actuación policial ni se extienden a los tratamientos necesarios para el desarrollo de
actividades relacionadas con la investigación penal o la seguridad pública o nacional, el
BCCyb. incluye una norma específica que permita el acceso de todos los países a dicha
información mediante este precepto 234, dedicado a los mandatos u órdenes de producción.
El art. 18 prevé que el legislador ha de dotar a sus autoridades competentes de facultades
para compeler a un proveedor de servicios que ofrece sus servicios en su territorio a que le
entregue la información sobre el suscriptor o abonado que posea o tenga bajo su control.
Dicha información puede hallarse almacenada en cualquier formato, no sólo digital.
De acuerdo con la ME, la orden de producción es una medida flexible que permite
exonerar a los proveedores de servicio, que desean colaborar con las autoridades públicas, de
las responsabilidades asumidas contractualmente de respeto a la intimidad de sus abonados en
cuanto a la protección de sus datos personales.235
La medida se aplica a información existente en el momento presente. No les impone
ninguna obligación de restringir el empleo de accesos anónimos, o de imponer la obligación
de identificación de todos los usuarios.
Por su parte, sólo afectará a la información relativa a usuarios de su territorio, y al
proveedor en su territorio, dada la implantación internacional de muchos proveedores de
servicios. Además, ha de tratarse de peticiones individualizadas, y no masivas relativas a
todos los suscriptores que reúnan ciertos requisitos, por ejemplo, de localización geográfica o
de sistema informático empleado 236
Esta información puede ser necesaria para la determinación de los medios técnicos de que
disponga el sujeto investigado 237, o incluso para averiguar su identidad. El acceso a los datos
económicos (número de cuentas corrientes, etc), puede facilitar la investigación de estas
facetas del hecho.
Sobre las posibilidades actuales de acceso a dicha información en nuestro Derecho
interno, así como a la información sobre facturación, hablaremos a continuación.
233
En nuestro caso, al art. 22.2 a 4 LOPDP
234
Nada obstará a que la regla de legitimación venga incluida en una legislación genérica de protección de datos
personales, o en una específica sobre proceso penal o sobre actividad policial.
235
Par. 155 ME.
236
En el régimen procesal alemán este tipo de medida, denominada «redada de datos» o «búsqueda entrecruzada
de rasgos distintivos», sólo puede ser acordada de acuerdo con lo previsto en el §163b en caso de delitos
cometidos por bandas armadas o elementos terroristas, o relacionados con las telecomunicaciones. Véase,
GURIDI ETXEBARRÍA, La protección de datos de carácter personal en el ámbito de la investigación penal,
Madrid, 1998, págs. 230 y ss.
237
Para preparar las peticiones de autorizaciones de intervención, en función del tipo de comunicación a
intervenir.
4.4. El acceso a datos de facturación y suscripción por los sujetos públicos de la

investigación penal
4.4.a) Normas informacionales que legitiman el acceso judicial
Dentro de las facultades conferidas a los órganos judiciales para el cumplimiento de sus
funciones constitucionales de juzgar y hacer ejecutar lo juzgado (art. 117.1 CE) se hallan las
de requerir el auxilio de cualquier autoridad o funcionario público, así como de los
particulares 238. La comunicación de datos de carácter personal no es sino una manifestación
de ese deber genérico de colaboración con la Justicia establecida constitucionalmente para el
cumplimiento último del derecho a la tutela judicial efectiva. Sin dicha colaboración el
derecho a la tutela judicial -ya sea en su modalidad de resolución de una cuestión plantada
mediante una decisión de fondo, o bien en la del derecho a valerse de todos los medios
pertinentes de prueba, así como en la de ejecución de lo fallado en firme- sería mero papel
mojado sin reconocimiento efectivo, algo proscrito por el propio art 24.1, que remarca que en
ningún caso puede caber indefensión.
Dentro de la sociedad de la información es lógico pensar que la solicitud más frecuente
de auxilio judicial será la de acceso -vía consulta o comunicación- a los datos personales
albergados en los ficheros automatizados de los que sean titulares las personas requeridas. Es
por ello por lo que la legislación de protección de datos establece excepciones a los principios
de protección de datos (fundamentalmente a los principios de finalidad y de consentimiento
en materia de cesión de los datos personales) cuando se trata de comunicarlos a los órganos
judiciales, y especialmente, cuando lo fueren por razón de la investigación y persecución de
delitos.
Así, en el Convenio 108 del Consejo de Europa se establecen, dentro del régimen de
excepciones previsto en su art. 9, las correspondientes a los principios básicos de calidad de
los datos, a la prohibición de tratamiento de tratamiento de datos sensibles y a los derechos
del interesado cuando sea necesario «para la protección de la seguridad del Estado, de la
seguridad pública, para los intereses monetarios del Estado o para la represión de las
infracciones penales» (art. 9.2.a).
Dentro del régimen de protección de datos español, la Ley Orgánica 15/1999, de 15 de
diciembre, define de modo análogo a la Directiva el concepto de tratamiento en el art. 3.c) 239.
El tratamiento automatizado se halla autorizado, sin necesidad de contar con el
consentimiento del afectado, por el art. 6.2 240. Y, al regular el régimen de las cesiones en el
art. 11 prevé, como excepción al requisito del previo consentimiento -por la legitimidad de las
funciones del cedente y del cesionario- que la cesión tenga por destinatario el Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de las funciones que
238
El art. 118 Ce establece que «Es obligado cumplir las sentencias y demás resoluciones firmes de los Jueces y
Tribunales, así como prestar la colaboración requerida por éstos en el curso del proceso y en la ejecución de lo
resuelto».
Por su parte, el art. 17.1 LOPJ previene que ««Todas las personas y entidades públicas y privadas están
obligadas a prestar, en la forma que la ley establezca, la colaboración requerida por los Jueces y Tribunales en el
curso del proceso y en la ejecución de lo resuelto, con las excepciones que establezcan la Constitución y las
leyes, y sin perjuicio del resarcimiento de los gastos y del abono de las remuneraciones debidas que procedan
conforme a la ley.»
239
Considera dicho precepto la cesión como el resultado de una comunicación, consulta, interconexión o
transferencia, más que como una operación.
240
«No será preciso el consentimiento cuando los datos de carácter personal [...] se recojan para el ejercicio de
las funciones propias de las Administraciones Públicas en el ámbito de sus competencias»
tienen atribuidas (art. 11.2.d). Las transferencias internacionales de datos en el ámbito judicial
por órganos judiciales extranjeros, está exenta de autorización previa del Director de la
Agencia de Protección de Datos de acuerdo con los arts. 34.b) LOPDP y 4.2 RD 1332/1994,
de 20 de julio, de desarrollo de la LOPDP.
Las funciones legítimas a las que se hacen referencia no son otras que las previstas en el
art. 299 y 303 LECr., para el Juez de Instrucción, y 785 bis LECr en el caso del Ministerio
Fiscal, dentro del ámbito penal.
La forma que deberá revestir la solicitud de información viene establecida por la
regulación general procesal. De acuerdo con el art. 141.3 LECr la admisión o denegación de
prueba deberá revestir la forma de auto 241, si bien la jurisprudencia admite tácitamente la
forma de providencia siempre que vaya acompañada de la necesaria fundamentación -
verdadera razón de ser de la forma auto, según el inciso final del art. 141.3 citado-. No
obstante, tratándose de la solicitud de datos sensibles, al verse afectados otros derechos
fundamentales como la libertad ideológica y religiosa (art. 16.1 CE) o la intimidad o vida
privada (art. 8.1 CEDH y 18.1 CE), estimamos más conveniente la adopción de la resolución
por medio de auto, al igual que se establece en los arts. 550, 558 y 579 LECr., al regular las
entradas y registros domiciliarios y la intervención u observación de las comunicaciones
telefónicas, postales o telegráficas. En tales casos no sólo habrá que admitir o denegarse la
prueba sobre tales datos, sino que -en virtud de los principios de proporcionalidad y de
protección de datos personales- será preciso establecer qué datos en concreto y qué régimen
de acceso y custodia deberá concederse a los mismos. Ha de tenerse en cuenta que las
excepciones a los principios y derechos de protección de datos previstas por el art. 9 del
Convenio 108 no alcanzan a las medidas de seguridad que afectan a todos cuantos traten con
datos automatizados en todas sus fases -incluída, por tanto, la fase de cesión- 242. Dicha
prevención se manifiesta también en la imposición de un deber de secreto a quienes traten
datos personales en cualquier fase del tratamiento, quedando por ello sometidos al catálogo de
infracciones previstas por la propia LOPDP en el art. 44.3g) y 44.4.g) 243. La necesidad de
fundar todas estas decisiones sostienen la razonabilidad de tal requisito formal.
Como quiera que ni los datos personales consistentes en información de abonado ni los
datos de facturación, incluidos los números de llamada, pueden considerarse datos de tráfico –
únicos amparados en la protección adicional dispensada por el art. 18.3 CE del secreto de las
comunicaciones– la forma de la resolución que permita acceder o reclamarlos no tendrá que
ser necesariamente la de Auto, bastando una providencia.
4.4.b) El acceso del Fiscal a los datos personales
Las normas informacionales «de primer nivel» (las que regulan el tratamiento de la
información: normativa genérica de protección de datos) confieren una habilitación
241
Así se infiere también del art. 311.2 LECr, que hace referencia al auto denegatorio de las diligencias
solicitadas por el Fiscal o las partes personadas en el sumario. No cabe entender, por la interpretación conjunta
de ambos preceptos, que sólo la decisión negativa haya de revestir esa forma, pudiendo dictarse providencia para
su admisión, por más que sea esa la forma normal de tramitarse las peticiones probatorias de las partes en los
procedimientos penales.
242
El art. 7 del Convenio 108 establece que «Se tomarán medidas de seguridad apropiadas para la protección de
datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada,
o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados»
243
El art. 44.3.g) LOPDP considera infracción grave «La vulneración del deber de guardar secreto, cuando no
constituya infracción muy grave»; considerando muy grave el apartado 4.g) «La vulneración del deber de
guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7».
suficientemente precisa en el art. 11.2.d) LOPDP para acceder a cualquier tipo de información
personal, con independencia de su contenido 244
La equiparación que realiza este apartado entre los Juzgados y Tribunales y el Ministerio
Fiscal, a los efectos de autorizarles el acceso a cualquier tipo de información, hace que nos
remitamos a lo ya dicho sobre tal fuente de prueba, en cuanto se refiere a la normativa de
primer nivel.
En la normativa de «tercer nivel», esto es, la atinente al sujeto o al procedimiento en que
se quiere hacer valer la información 245, también nos proporciona fundamento legal para
admitir facultades de acceso informacional al Ministerio Fiscal.
Así, en el propio EOMF hallamos una referencia a las facultades de investigación del
Fiscal en el art. 4.1, relativo a la información judicial 246, aunque con fines limitados a la
verificación del cumplimiento de la legalidad procesal. El art. 5, base de las investigaciones
del Fiscal, previene en su apartado 2º que «Igualmente, y para el esclarecimiento de los
hechos denunciados o que aparezcan en los atestados de los que conozca, puede llevar a cabo
u ordenar aquellas diligencias para las que este legitimado según la Ley de Enjuiciamiento
Criminal, las cuales no podrán suponer, adopción de medidas cautelares o limitativas de
derechos. No obstante, podrá ordenar el Fiscal la detención preventiva”.Mucho más claro, y
más acorde con la perspectiva informacional, el art. 18 bis introducido tras la reforma operada
en el EOMF por la Ley 5/1988 de 24 de marzo, por la que se creaba la Fiscalía Antidroga,
precisa como una función de ésta la de «Investigar la situación económica y patrimonial, así
como las operaciones financieras y mercantiles de toda clase de personas respecto de las que
existan indicios de que realizan o participan en actos de tráfico ilegal de drogas o de que
pertenecen o auxilian a organizaciones que se dedican a dicho tráfico, pudiendo requerir de
las Administraciones Públicas, entidades, sociedades y particulares las informaciones que
estime precisas».
Por su parte la LECr., en el art. 785 bis regulador de las diligencias preprocesales del
Fiscal, hace igualmente alusión a ciertas facultades de investigación en orden a la
averiguación de los hechos aparentemente delictivos de los que conozca. No obstante
tampoco se pronuncia sobre qué diligencias en concreto puede practicar a tales fines, razón
por la que habrá que estar a la regla general que a continuación comentaremos.
Dentro de la Ley de Enjuiciamiento Criminal los arts. 781.1 y 793.2 permiten la
posibilidad de aportar los documentos proobatorios de que pueda disponer el Fiscal. Los datos
personales obrantes en un fichero automatizado, con independencia de si por ellos mismos
constituyen prueba documental o no 247, son incorporados a un informe que emite el
244
El art. 11.2 se halla incluido en el Título II de la LOPDP, que regula el régimen general de tratamiento de
datos personales. Junto a él es también regulado el tratamiento de datos sensibles (art. 7), sin que se establezca
ninguna limitación a la aplicación de la excepción del consentimiento del interesado a la cesión de los mismos,
por el hecho de tratarse de datos que afectan a la intimidad o a la libertad ideológica y de creencias.
245
La normativa de segundo nivel informacional se referiría al tipo de información concreta a manejar: médica,
de telecomunicaciones, económica, etc.
246
El art. 4.1 establece como facultad del Fiscal la de «Interesar la notificación de cualquier resolución judicial y
la información sobre el estado de los procedimientos, pudiendo pedir que se le dé vista de los mismos cualquiera
que sea su estado, para velar por el exacto cumplimiento de las leyes, plazos y términos promoviendo, en su
caso, las correcciones oportunas. Asimismo, podrá pedir información de los hechos que hubieran dado lugar a un
procedimiento, de cualquier clase que sea, cuando existan motivos racionales para estimar que su conocimiento
pueda ser competencia de un órgano distinto del que esta actuando»
247
Así podría desprenderse de la protección penal indirecta establecida en el art. 26 CP, que amplía el
concepto de documento a cualquier soporte que contenga datos con relevancia jurídica; nada se dice de la
responsable del fichero a requerimiento del Fiscal; informe que, como prueba documental, es
aportable por éste bien en el curso de la instrucción bien en la audiencia previa prevista en el
art. 793.2 LECr.
Pueden, no obstante, citarse determinados límites a las facultades de acceso a la
información requerida en una causa penal. El art. 5 EOMF antes aludido se refiere a aquéllas
para las que esté legitimado según la LECr.. La ley procesal no establece qué diligencias
puede practicar el Fiscal, si bien éstas se obtienen por vía negativa, esto es, mediante el
examen de las expresamente reservadas por la ley al Juez 248. Ha de recordarse al respecto que
la LECr no reserva la petición de pruebas documentales al Juez, sino que, al contrario,
permite al Fiscal y al resto de las partes la aportación de pruebas documentales que obren en
su poder hasta el momento mismo del inicio de la vista oral.
Otro límite, especialmente destacado por la Fiscalía General del Estado 249, es el apuntado
por el art. 5.2 EOMF. El Fiscal, en su investigación, no puede acordar diligencias que
supongan adoptar medidas cautelares o limitativas de derechos, lo que supone tanto que no se
puedan adoptar medidas directamente encaminadas al aseguramiento de las responsabilidades
personales o reales derivadas del hecho 250 como aquellas diligencias cuya realización exijan
la restricción directa de algún derecho fundamental -como las entradas y registros en
domicilio, las intervenciones su observaciones de comunicaciones, así como determinadas
medidas de investigación corporal que afecten al derecho a la intimidad STC 7/1994)-.
Pero, ¿puede sostenerse que la solicitud de información personal sobre un individuo
supone la adopción de una medida limitativa de su derecho fundamental a la
autodeterminación informativa?
La libertad informática supone, como estableció la STC 254/1993, un haz de facultades,
un derecho instrumental en garantía de otros derechos fundamentales 251. Pero no debe
olvidarse que el tratamiento automatizado de datos no es contemplado legalmente, en el seno
de la sociedad de la información, como una actividad prohibida por ser limitativa de derechos.
Fue precisamente el reconocimiento de su necesidad en la sociedad para el desarrollo
naturaleza de éstos, sino del soporte en el que constan. La doctrina aboga por la equiparación de tratamiento
documental de los datos informatizados a los datos impresos (v.g. SIEBER, U: Legal aspects of Computer-
Related Crime in the Information Society -COMCRIME Study, pág. 104.
248
Véase Circular de la FGE 1/1989, de 8 de marzo de 1.989, B.I.M.J. suplemento al nº 1522, págs. 1360-
1361
249
Circular 1/1989, de 8 de marzo. Consulta 1/1999, de 22 de enero.
250
Es decir, las de naturaleza personal -prisión, pues la detención sí le es dable acordarla por virtud del último
inciso del art. 5.2 EOMF-, y real (fianzas y embargos) para la garantía de las responsabilidades pecuniarias
derivadas del delito. Por medidas limitativas de derechos podemos entender aquéllas que afectan a derechos
personales distintos de los de libertad personal y propiedad, tales como la privación temporal del permiso de
conducir (art. 785.8.c).2 LECr.), o las prohibiciones de acercamiento o de comunicación con las víctimas de
determinados delitos, incluso por vía telemática, según el art. 48 CP, según la dicción establecida por la Ley
Orgánica 14/1999, de 30 de abril , de modificación del Código Penal. No han de considerarse como tales
medidas las de secuestro de objetos y efectos del delito para las que no sea necesario la entrada en domicilio de
persona física o jurídica -dado que puede practicarla la Policía Judicial según se establece en el art. 786.2.a)
LECr- así como la intervención de vehículos y permisos de circulación, en los supuestos previstos en el art.
785.8.c) LECr.
251
En su F.J. 6º declara el Tribunal Constitucional que «estamos ante un instituto de garantía de otros derechos,
fundamentalmente el honor y la intimidad , pero también de un instituto que es, en sí mismo, un derecho o
libertad fundamental, el derecho a la libertad frente a los potenciales agresiones a la dignidad y a la libertad de la
persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama "la
informática".»
económico y social, y la preocupación por la cohonestación entre el derecho a la privacidad y

dicho interés colectivo lo que motivó las Directrices del OCDE sobre flujo internacional de
datos; preocupación recogida también en el preámbulo del Convenio 108 del Consejo de
Europa 252. La DPD, en sus Considerandos 1 a 4 recoge estas mismas ideas, fijando como
principios de su regulación «la protección de las libertades y de los derechos fundamentales
de las personas físicas, y, en particular, del derecho a la intimidad» y la no restricción ni
prohibición de la libre circulación de datos personales entre los Estados miembros (art. 1).
Por ello las nuevas leyes de protección de datos 253 establecen las condiciones en las que
dichos tratamientos son legítimos, condiciones que pueden sintetizarse en los supuestos
previstos por una ley o el consentimiento del interesado, ya sea prestado en forma negocial o
contractual. De este modo, el acceso a la información personal es lícito si una ley así lo
dispone, sea autorizándolos de forma total (esto es, contemplando el conjunto de operaciones
que implica el ciclo completo del tratamiento de datos) o parcial (como es el caso de la
operación concreta de cesión o comunicación de datos), y sin que para ello se requiera de una
autorización judicial o administrativa. En estos casos puede afirmarse que, si la ley legitima
para el acceso a la información personal en el ejercicio de funciones legítimas relativas a una
misión de interés público o inherente a las mismas (art. 7.e) Directiva), no se estará adoptando
ninguna medida limitativa del derecho de autodeterminación informativa, sino que se actuará
conforme al régimen de ejercicio de dicho derecho, que no es absoluto y que viene limitado
por la ley en dichos términos. Sí se limitaría el derecho cuando se adoptara, en el curso de una
investigación por causa de delito, una resolución por la que se impidiera el ejercicio de
alguna de las facultades previstas en el derecho citado 254. Por ello, como puede observarse, la
petición de datos personales por parte del Fiscal es una diligencia que puede realizarse por
propia autoridad sin conculcar lo establecido en el art. 5.2 EOMF.
Un último límite debe ser analizado en relación con la facultad investigadora descrita. La
Consulta 1/1999 FGE considera que el máximo nivel de protección exigible ante el derecho a
la intimidad ha de llevar a considerar de forma muy restrictiva el art. 11.2.d) LOPDP, de tal
modo que a pesar de su tenor literal no podrán solicitarse aquellos datos que afectaran a la
intimidad o que se hallaren protegidos, además, por otra garantía autónoma. De ese modo,
sólo mediante autorización judicial será posible acceder a tales contenidos. Sin embargo, debe
objetarse a tal opinión que la legislación de protección de datos tiene en cuenta la confluencia
de derechos fundamentales mediante la utilización de la categoría de los datos sensibles (arts.
6 Convenio 108, 8 DPD y 7 LOPDP), estableciéndose unas exigencias mayores para su
tratamiento en cualquiera de sus modalidades. Para estos casos no se prevé una excepción
sino en el caso de los tratamientos realizados por las Fuerzas y Cuerpos de Seguridad (art.
252
Convenio 108: «Considerando que es deseable ampliar la protección de los derechos y de las libertades
fundamentales de cada uno, concretamente el derecho al respeto de la vida privada, teniendo en cuenta la
intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de
tratamientos automatizados. Reafirmando al mismo tiempo su compromiso en favor de la libertad de
información sin tener en cuenta las fronteras. Reconociendo la necesidad de conciliar los valores fundamentales
del respeto a la vida privada y de la libre circulación de la información entre los pueblos...».
253
Como declara la Ley Alemana Federal de Protección de Datos de 20 de diciembre de 1.990 (§4.1); o la propia
Directiva 95/46/CE (art. 5: «Los Estados miembros precisarán, dentro de los límites de las disposiciones del
presente capítulo, las condiciones en que son lícitos los tratamientos de datos personales».). Sobre esta última,
véase HEREDERO HIGUERA, Manuel, op. cit. Págs.108-ss.
254
Ese derecho a la autodeterminación está constituido tanto por los principios previstos en los arts. 4 a 11
LOPDP (principios de calidad de los datos), como a los derechos reconocidos en los arts. 12 a 17, más el derecho
de oposición por causa legítima a los tratamientos, incorporado en la LOPDP por aplicación del art. 14 Directiva
95/46/CE.
22.3 LOPDP, cuando se circunscribe su uso a los fines de una investigación concreta. No
existe, ni siquiera para la Policía Judicial, una prohibición de tratamiento, o una exigencia de
autorización judicial para ello, sino una condición de legitimidad verificable, cual es la de la
existencia de una investigación penal o policial concreta. Sería paradójico admitir, en el curso
de una investigación penal, que el Fiscal tuviera que acudir -en el ejercicio de sus funciones
de dirección de la Policía Judicial 255 a las facultades de sus subordinados para acceder a la
información requerida para el ejercicio de sus funciones.
No obstante, las consideraderaciones de la Consulta 1/1999 sólo serán válidos para los
datos de tráfico asociado a las comunicaciones electrónicas, por su propia consideración como
contenido de las mismas. Aunque la Consulta prevé la protección de los números de abonado
a los que se han efectuado llamadas, lo cierto es que la consideración de éstos como datos de
facturación susceptibles de cesión en igualdad de régimen que los datos ordinarios, y no como
los sensibles –como ya ha quedado expuesto– abonan la tesis de que puedan ser tratados y
comunicados por el Ministerio Fiscal en el curso de investigaciones preprocesales.
4.4.c) Acceso policial a los datos de facturación y suscripción
El trato igual que merecen tanto la información en soporte papel como la digital,
propugnado por la Recomendación R (95) 13, lleva a pensar que debe admitirse tal
posibilidad, sin perjuicio de que las disposiciones de creación de los ficheros público, o los
preceptos de la LOPDP nada digan expresamente.
Fruto de los problemas que las Unidades de Policía Judicial padecen en su labor de
captación de datos en el curso de investigaciones policiales por hechos delictivos, lo
constituye el Informe de la Agencia de Protección de Datos de 26 de septiembre de 1.997,
emitido a instancia de la Comisión Nacional de Policía Judicial. La Agencia empleó un
silogismo lógico para admitir tal práctica: si las Fuerzas y Cuerpos de Seguridad están
legitimadas para desarrollar tratamientos automatizados de datos, y si entre éstos cabe incluir
las comunicaciones, cesiones o consultas de datos, siempre que actúen en el ejercicio de sus
funciones para una investigación concreta podrán acceder a bases de datos de titularidad
pública o privada. De otro modo, las investigación policial en un mundo que realiza la
mayoría de sus operaciones sociales, económicas y de todo tipo a través de ordenadores, no
podría desempeñar las funciones legítimas de averiguación y esclarecimiento de hechos
dlictivos.
Todavía es posible encontrar un argumento más en la DPD. Al hablar de las condiciones
en que considera un tratamiento legítimo (y recordamos una vez más que por tal se entienden
las consultas o accesos a datos, sean llevados a cabo o no por medios automatizados), el art.
7.e) los considera cuando «es necesario para el cumplimiento de una misión de interés público
o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un
tercero a quien se comuniquen los datos». La Directiva afronta la legitimidad de la operación
de cesión desde la perspectiva tanto del cedente (el responsable del tratamiento de los datos de
que se traten) o del cesionario (la persona o entidad a la que se le comunican), asociando tal
legitimidad a la concurrencia en uno o en otro del cumplimiento de misiones de interés
público o inherentes al ejercicio del poder público, lo que evidentemente sucede con las
Unidades de Policía Judicial.
Por último, debe tratarse el tema del acceso a los datos derivados de las
telecomunicaciones. Parte de los problemas que se presentan a la Policía Judicial radica en la
imposibilidad de ésta de acceder a los datos de identificación de los abonados que han
255
Arts. 4.4 EOMF y 20.1 RD 769/1987, regulador de la Policía Judicial.
realizado comunicaciones electrónicas o telefónicas. Dichos datos son fundamentales para

iniciar la investigación por delitos informáticos. Queda claro que los datos a los que aludimos
son los que quedan en poder de los operadores telefónicos y proveedores de servicios Internet
para fines de facturación, en los que se hace referencia al número llamado y al número de
teléfono desde el que se realizó la comunicación. La Fiscalía General del Estado sostuvo, en
la Consulta 1/1999 que el fiscal no podía acceder a dichos datos en el curso de una
investigación preprocesal -con mayor razón la Policía Judicial-, dado que dichos datos
quedaban amparados en el secreto de comunicaciones, al que el derecho de protección de
datos servía como refuerzo de garantía. No obstante, las resoluciones judiciales admiten la
tesis contraria; así, en la STS 459/1999, de 22 de marzo (p. Puerta Luis), el TS declaró, de
acuerdo con el dictamen del Fiscal, que la petición de un listado de llamadas realizadas desde
un teléfono móvil investigado no estaba amparado en el secreto de comunicaciones, y por ello
no requería de un auto en los términos previstos en el art. 579 LECr. 256. el mismo criterio se
sostuvo en el conocido «caso Hispahack» , fallado por el Juzgado Penal nº 2 de Barcelona, en
sentencia de 28 e mayo de 1.999 257.
5. EL PAPEL DE LOS PROVEEDORES DE SERVICIOS
5.1. Planteamiento general

A diferencia de la situación anterior a la explosión de la tecnología Internet, en la
actualidad podemos hallar diversos sujetos en la cadena de comunicación aparte de los
intervinientes en ella. El operador de red suministra la conexión a las redes de
comunicaciones electrónicas a través de las que se transmitirán las señales de comunicación.
Dichas redes se conectarán a centros de conexión, dotados de encaminadores de señales, que
guiarán la conexión entre las diversas redes intercontinentales. Los usuarios contarán con un
acceso a Internet suministrado por un proveedor de acceso a Internet, que les alquilará parte
de su capacidad de conexión permanente y gestionará su identificación en la red asignándole
una dirección IP. A través de esa conexión accederá a diversos contenidos ofertados por
proveedores de servicios Internet, gratuitos, de pago o subvencionados por los ingresos
publicitarios.
Cada uno de estos participantes asume una función en el proceso comunicativo, pudiendo
facilitar datos sobre la identidad del equipo empleado para la conexión por el usuario, y aun
de la misma identidad de éste. Será preciso enlazar diversos datos y registros (ficheros que
contengan los datos de acceso a una página web o a un ordenador; usuario cuya dirección IP
coincida con el acceso anterior; abonado telefónico a quien se asignó dicha IP).
La colaboración solicitada a los prestadores de servicio (de red, de servicios, de acceso a
Internet) es de una triple especie: a) informativa: suministro de información sobre el usuario,
256
«El registro de llamadas efectuadas desde un determinado número de teléfono forma parte del conjunto de
datos que las correspondientes compañías telefónicas obtienen y conservan para poder determinar el precio que
periódicamente deben abonarles el titular de aquél, al cual se le facilitan, bien espontáneamente, bien previa
solicitud, para su conocimiento y posibles reclamaciones; en forma semejante a comohacen las entidades
bancarias con los titulares de las cuentas corrientes, al remitirles periódicamente información sobre el
movimiento de las mismas. Se trata, en definitiva, de datos de carácter personal, custodiados en ficheros
automatizados, a que se refiere la LORTAD...» (STS 459/1999, F.J. 2ª)
257
La sentencia puede consultarse en http://www.bufetalmeida.com/hispahack.html
su identidad, sus equipos y sobre las tecnologías empleadas en su sector; b) ejecutivas:

cooperación durante la ejecución de medidas de intervención de comunicaciones, sobre la
localización de datos en el volumen generado diariamente, y sobre el descifrado de mensajes;
c) relativa a contenidos: bloqueo del acceso a los mismos e identificación de sus autores.
5.2. Deberes de los proveedores de servicio

Una red descentralizada como Internet supone un serio inconveniente para la
identificación de la autoría de actividades ilícitas. Por eso precisamente son fáciles de
cometer, unido a la facilidad para cometerlas sin tener en cuenta la distancia y tiempo en que
ésta se ejecuta. Esta situación ha motivado la necesidad de buscar colaboradores a los que
poder imponer un deber de colaboración con las fuerzas del orden, cuando no una
responsabilidad vicaria por los contenidos por ellos transmitidos.
La colaboración que se puede solicitar a un proveedor viene determinada, en opinión de
SIEBER 258, por la necesidad de contar con asistencia técnica especializada relacionada con
los sistemas tecnológicos empleados en las comunicaciones, de complejidad y renovación
continua, que escapa de las posibilidades de las autoridades encargadas de la investigación
penal; de la existencia de específicos problemas relacionados con la utilización de
mecanismos de seguridad como el cifrado por hardware o software de las comunicaciones,
que precisa del proveedor para poder acceder a las claves o al texto en claro protegido con
dichos mecanismos; y el volumen de información tratada, que puede hacer imposible acceder
a unos determinados contenidos objeto de la búsqueda sin la activa intervención del
intermediario técnico.
La cooperación técnica del proveedor de servicio puede centrarse en tres momentos
distintos.
5.2.a) Deberes previos a la ejecución de una intervención
Lo primero que se reclama del proveedor, o del conjunto de proveedores de servicios de
comunicación y de contenidos, es la puesta a disposición de las autoridades públicas
encargadas de la investigación penal consiste en la puesta a disposición de éstas de la
capacidad técnica suficiente para la realización de las actividades legales de intervención.
Este tipo de auxilio es estructural, general y asociado con la política de
telecomunicaciones de cada país. Por ello se suele abordar con independencia de las
operaciones concretas de intervención a las que servirán de sustento, siendo tratadas y
establecidas en leyes sectoriales del ámbito de las telecomunicaciones o del sector de la
seguridad pública.
La necesidad de intervenir comunicaciones originadas en cualquier parte del mundo
reclama una homogeneización internacional para permitir la cooperación policial y judicial.
Esa es la razón del interés de Estados Unidos, principal interesado por el número de usuarios
nacionales que acceden a Internet y su posición hegemónica militar y económica, en
establecer unos requisitos comunes a los sectores de fabricación de equipos y de
telecomunicaciones que permitan la cooperación con las actuaciones policiales. Ello motivó la
ley CALEA, así como la Resolución de la Comisión Europea de 17 de enero de 1.995, y sus
revisiones ENFOPOL 19 y ENFOPOL 98, ya estudiadas.259
258
SIEBER, U, op.cit., pág. 117.
259
En España pueden imponerse condiciones similares sobre la base de lo previsto en la LGT. Así su art. 11
establece
Condiciones que pueden imponerse a las autorizaciones generales

Pero la colaboración también alcanza a los casos concretos susceptibles de intervención.

Así, se requieren normas específicas que permitan a las autoridades públicas de reclamar a los
prestadores de servicio de comunicación datos relativos al usuario objeto de investigación.
Estos datos, conocidos como datos de suscripción, se refieren tanto a su identidad como a la
de datos relativos con su cuenta corriente, medios de pago, dirección postal, etc. También
pueden referirse a las características técnicas de los equipos instalados al usuario, permitiendo
así el conocimiento de las medidas requeridas para su intervención.
El acceso a los datos de identidad plantea problemas que ya hemos descrito, sobre todo
cuando el usuario hace uso de medios de prepago o manifiesta su voluntad de no aparecer el
las guías telefónicas. Las operadoras telefónicas estiman que con dicha voluntad el cliente
manifiesta su deseo de permanecer cubierto bajo secreto de las comunicaciones, no
accediéndose a las peticiones de información solicitadas policialmente salvo con
mandamiento judicial. 260.
La ratificación del BCCyb, una vez convertido en Tratado internacional, obligará a
introducir normas específicas relativas al acceso a esta información, con independencia del
art. 22 LOPDP –que presenta problemas de aplicabilidad a la investigación de estos delitos,
como ya vimos– que permitan el acceso legítimo y sin orden judicial a dicha información.
5.2.b) Deberes simultáneos a la intervención
Estos deberes hacen referencia a la obligación de poner a disposición de las autoridades
públicas los datos de tráfico suficientes para identificar a los proveedores de comunicación y
la ruta de la comunicación, y la propia grabación y almacenamiento de estos datos –o su
preservación anticipada– para su posterior entrega a las autoridades.
Estas obligaciones actualmente no son posibles sino en virtud de mandamiento judicial de
intervención de comunicaciones dictado al amparo del art. 579 LEC. Se precisará, igualmente,
la adaptación de las disposiciones de la LECr. al tenor del BCCyb. para recoger, con la
suficiente especificación, la regulación de estas medidas de investigación.
De igual modo, la cooperación puede consistir en la facilitación de la actividad de
intervención, canalizando las señales intervenidas a la estación de interceptación –caso de
las comunicaciones telefónicas– o remitiendo copia de los mensajes de correo electrónico al
juez de instrucción (art. 582 LECr). La referencia que incluye este último a los servicios
telegráficos, y la reglamentación preconstitucional relativa únicamente a este tipo de
servicios, puede dificultar –como ha sucedido en algún país de nuestro entorno– la aplicación
1. Las autorizaciones generales se otorgan de forma reglada y automática, previa asunción por el interesado
de las condiciones que se establezcan mediante Orden del Ministro de Fomento para cada categoría de redes y
servicios y previa comprobación del cumplimiento por aquél de los requisitos que se determinen en la misma.
Las condiciones indicadas en la citada Orden, que se publicará en el "Boletín Oficial del Estado", deberán
garantizar los siguientes objetivos:
8º La protección de los intereses de la defensa nacional y de la seguridad pública.»
Art. 42:Otras obligaciones de servicio público
«1. El Gobierno podrá, por necesidades de la defensa nacional y de la seguridad pública, imponer, mediante
Real Decreto, otras obligaciones de servicio público distintas de las de servicio universal y de los servicios
obligatorios, a los titulares de licencias individuales o de autorizaciones generales a los que se refiere el art.
35.1.»
260
«Telefónica y Airtel deniegan a la policía la identidad de los titulares de teléfonos móviles», Diario El País, 7
de noviembre de 1999

de esta medida, aunque sea más beneficiosa para el imputado que la de intervención total de
sus comunicaciones.
Los deberes también aluden a la obligación de entrega de los mecanismos hardware o
software puestos a disposición del usuario por el proveedor de servicio para cifrar o
asegurar el contenido de las comunicaciones 261. La previsión genérica en nuestro
ordenamiento está expuesta en el art. 52.3 LGT. 262
5.2.c) Deberes posteriores a la ejecución de la intervención
A medio camino entre el momento anterior y éste debe hablarse del deber de
confidencialidad de las medidas adoptadas de intervención, tanto sobre el hecho de su
ejecución sobre cualquier otra información acerca de las mismas 263.
A estas medidas también se refiere el BCCyb, si bien no implica imponer nuevas
medidas, bastando la previsión penal de imposición de sanciones a los comportamientos
obstativos u obstructivos a la acción de la Justicia, lo que no sucede en nuestro ordenamiento,
sin que pueda bastar el residual delito de desobediencia, dado que no existe ninguna
obligación específica de confidencialidad de quienes participan como colaboradores en las
diligencias de investigación.
5.3 Deberes relacionados con los contenidos, La Directiva sobre aspectos
jurídicos de los servicios de la sociedad de la información 2000/31/CE
En los primeros estadíos de desarrollo de la red un proveedor de servicios Internet
alemán, Compuserve-Alemania, fue condenado por el alojamiento de unas páginas web de la
organización XS4ALL con contenidos considerados delictivos. Esta condena provocó la señal
de alarma en el sector, que vio peligrar su actividad comercial por la imposición de
responsabilidades penales por contenidos que transmitían, pero que no podrían controlar
debido a su volumen diario.
Las legislaciones europeas sobre telecomunicaciones fueron las primeras en incluir
medidas limitadoras de dicha responsabilidad, vinculándola al conocimiento del prestador de
servicios de la existencia del contenido ilícito y a su capacidad técnica real para impedirlos o
bloquearlos. Así, la Ley General de Telecomunicaciones Alemana de 1 de julio de 1996, en su
art. 5, determinó los principios que posteriormente han sido asumidos como la política de
responsabilidad en este sector. Señala dicho precepto, como norma general, que los
proveedores serán responsables de acuerdo con las leyes generales únicamente por sus
propios contenidos, que ellos mismos hagan disponibles para el uso. Con respecto a los
contenidos de terceros que hagan disponibles para el uso no serán responsables a menos que
tengan conocimiento de los mismos y sean técnicamente capaces y puedan razonablemente
bloquearlos para su uso. La mera puesta en disposición para el uso no generará
responsabilidad, debiendo entenderse incluida en tal previsión el almacenamiento temporal
automático de contenidos de terceros a petición de un usuario 264. La ley sueca 1998:112
261
Lo que puede referirse tanto a las claves de firma como a las claves de cifrado, al menos en el caso de la
FNMT.
262
En el Código procesal holandés se prevé específicamente el deber de colaborar de igual forma en el art. 125k.
En términos similares, RIPA en Reino Unido.
263
Por ejemplo, los datos técnicos de los mecanismos y procedimientos policiales empleados para su realización.
264
Alude esta posibilidad al almacenamiento temporal ocasionado por el empleo de un «servidor proxy», un
ordenador en el que se alojan las páginas más visitadas por los usuarios de ese proveedor, de modo que antes de
que una nueva petición sea lanzada a la red pueda ser contestada más rápidamente remitiéndola al mismo, puesto
que ya fue servida a otro usuario previamente. El proveedor no decide qué contenidos se almacenan allí, sino que
de forma automática y rutinaria se almacenan las páginas servidas a los usuarios. Es una especie de filtro previo

sobre responsabilidad por Boletines Electrónicos, de mayo de 1998 (BBS) sigue las mismas
pautas.
Esta responsabilidad ha sido últimamente asumida por la legislación sobre servicios de la
sociedad de la información. La Directiva 2000/31/CE, de 8 de junio, relativa a los aspectos
jurídicos de los servicios de la sociedad de la información y el comercio electrónico ha
determinado las líneas básicas de colaboración entre prestadores de servicios y autoridades
públicas en los campos anteriormente citados de la identificación de los autores de hechos
ilícitos y de la represión de contenidos considerados delictivos.
Podemos resumir los mecanismos previstos en la Directiva de Comercio Electrónico de la
siguiente manera:
Se pueden aplicar medidas restrictivas a la libertad de expresión respecto a un
determinado servicio de la sociedad de la información necesarias para la adopción de
una medida por motivos de seguridad, orden público, prevención, investigación y
descubrimiento de delitos , lucha contra la instigación del odio, protección de menores
y de la dignidad humana; que, además sean proporcionadas a dichos objetivos.265
Puede comprobarse que la medida se establece caso por caso respecto de aquellos
servicios de la sociedad de la información que incumplan los objetivos protegidos. Los
criterios de aplicación son más amplios que los establecidos por el CEDH para la
limitación de derechos fundamentales.
Es cuestionable la competencia de la Comunidad Europea para regular en una
Directiva medidas cautelares aplicables en los procesos penales, al no ser ésta una materia
comunitaria por afectar al Título VI del Tratado (Justicia y asuntos de interior). Podría
hablarse aquí de una extralimitación de la regulación comunitaria, la que se manifiesta aún
más en la obligación de identificar a los autores de un hecho delictivo entregando datos de
identificación (que no serán sino datos de navegación de las páginas alojadas, lo que
constituyen parte del contenido de la comunicación en Internet, amparada en el secreto de
comunicaciones) a las autoridades públicas.
Las medidas son aplicables aunque afecten a proveedores instalados en otros países,
previa notificación al Estado miembro y a la Comisión.
No obstante, el Considerando 26 manifiesta que en estos casos no será precisa la
comunicación a la Comisión, aunque sí al Estado afectado.
La exoneración de responsabilidad de los proveedores de servicios se supedita a que
éstos no hayan originado el contenido, que no seleccionen a los destinatarios y que no
seleccionen ni modifiquen los contenidos 266
La exoneración de responsabilidad por almacenamiento temporal y automatizado de
contenidos de terceros (memoria tampón) se supeditará a que éste no afecte a la
información almacenada, la modifique (ni los programas o dispositivos destinados a
recabar información de los usuarios)267; y que actúe con prontitud para retirar la
información que haya almacenado o hacer imposible su acceso en cuanto tenga
a la salida a la red diseñado para facilitar las consultas de contenidos habitualmente visitados por los mismos
usuarios.
265
Art. 2 Directiva 2000/31/CE
266
267
Se refiere con ello la Directiva a las aplicaciones E.T., a las cookies y otras modalidades de tratamiento
invisible establecidas o instaladas en los contenidos (páginas webs) por los responsables de éstos.

conocimiento de que dicha información fue retirada de su ubicación de origen, de que

se ha imposibilitado su acceso o de que se ordenó su retirada o su imposibilidad de
acceso por una autoridad judicial o administrativa 268
En los servicios de alojamiento de contenidos (hosting), la exoneración de
responsabilidad dependerá de que el proveedor no conozca los contenidos ilícitos o de
hechos o circunstancias que revelen su ilicitud; o de que si tiene conocimiento de ellas
actúe con prontitud para retirarlas o hacer imposible su acceso.269
No podrá imponerse una obligación general de supervisión de contenidos mediante
búsquedas activas de los mismos. Ello no obstante, sí podrá imponerse las de
comunicar a las autoridades públicas competentes los datos suficientes para identificar
dichos contenidos ilícitos o las actividades ilícitas desarrolladas por los destinatarios
de los servicios, así como la obligación de comunicar a solicitud de las autoridades
públicas competentes, información que les permita identificar a los destinatarios de
sus servicios con los que hayan celebrado acuerdos de almacenamiento.270
De acuerdo con los Considerandos 47 y 48, las medidas aquí previstas son
compatibles con la posibilidad de efectuar la supervisión de un específico destinatario o
contenidos establecidas por órdenes de las autoridades competentes de acuerdo con la
legislación interna. También es compatible con la posibilidad de establecer internamente
por cada Estado un deber de diligencia a fin de prevenir determinadas actividades ilícitas.
No será suficiente, por tanto, la existencia de esta disposición para poder efectuar las
comunicaciones de información que se prevén, sino que se requerirán normas internas
específicas que legitimen dichas peticiones de las autoridades competentes. En el caso de
los datos de identificación de autores de contenidos ilícitos, estimamos que sólo podrán
ser reclamados por virtud de órdenes judiciales, al afectarse a derechos fundamentales
como el secreto de las comunicaciones y la libertad de expresión.
Los autores que pueden ser identificados sólo serán los autores de los contenidos que
hayan concertado un acuerdo de almacenamiento con el proveedor, no los usuarios que
accedan a los mismos. La identificación y comunicación de información será de dos tipos:
a) la relativa a las actividades o contenidos ilícitos 271, en cuyo caso deberá ser
comunicada en cuanto el proveedor de servicios tenga conocimiento de tal carácter; y b) la
relativa a la identidad de sus usuarios con los que mantengan acuerdos de
almacenamiento, en cuyo caso será precisa una previa reclamación de la autoridad.
La regulación prevista ha sido recogida en el Anteproyecto de La Ley de Servicios de la
Sociedad de la Información y del Comercio Electrónico (ALSSICE).
De su regulación podemos destacar los siguientes aspectos relacionados con la
intervención de las comunicaciones:
268
Esta norma plantea un serio problema en relación a contenidos inicialmente alojados en países en los que se
producen violaciones de derechos humanos por las autoridades públicas, que pueden obligar a retirar la
información de organizaciones que trabajan en pos de aquéllos en denuncia de tales agresiones. Debería exigirse
que la resolución proviniera de un país que haya suscrito el CEDH y que dicha resolución fuera firme.
269
270
271
No cabrá incluir en este concepto sino aquellos que vulneren la legislación civil o penal, pero no por ejemplo
contenidos sexuales que no afecten a menores, puesto que éstos sólo podrán recibir la consideración de
«nocivos», de acuerdo con los documentos de trabajo de la Comunidad Europea (Libro Verde sobre la
protección frente a los contenidos ilícitos, nocivos y peligrosos en Internet)

El art. 2.d) ALSSICE define al destinatario como la «persona física o jurídica que
utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la
información.», a diferencia de cómo lo efectúa la Directiva, que considera por tal a
«cualquier persona física o jurídica que utilice un servicio de la sociedad de la
información por motivos profesionales o de otro tipo, y especialmente, para buscar
información o para hacerla accesible»
Esta alusión a la puesta a disposición de terceros contenidos o servicios será capital
para determinar las responsabilidades de investigación, y que al no ser recogida por la
transposición interna suponen una ampliación excesiva de las obligaciones de
identificación de los proveedores de servicios con relación a los destinatarios de sus
servicios.
Las obligaciones impuestas a los proveedores de servicios se refieren a los que se
hallen instalados en España, aun con establecimiento permanente. La instalación
referida en el art. 4 apunta hacia la dirección efectiva de sus actividades desde el
establecimiento, sin que sea suficiente la instalación de medios técnicos en nuestro
territorio para quedar sujeto a la norma.
No obstante, los contenidos que pueden ser bloqueados sí pueden hallarse en países
de la Comunidad o de fuera de la Comunidad, como se desprende del art. 6, así como de
la declaración de ámbito de aplicación del art. 5.
Las obligaciones impuestas a los proveedores de servicios son determinadas por el art.
12:
«1. Todos los prestadores de los servicios de la sociedad de la información establecidos
en España deberán cumplir las siguientes obligaciones:
a) Comunicar a las autoridades judiciales o administrativas competentes, tan pronto como
tengan conocimiento de su existencia, la actividad presuntamente ilícita, realizada por el
destinatario del servicio.
b) Comunicar a las autoridades judiciales o administrativas competentes, a solicitud de
éstas, la información que les permita identificar a los destinatarios de servicios.
c) Suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de
cualquier otro servicio de la sociedad de la información, para poner fin a una infracción o
impedirla, cuando así les sea solicitado por una autoridad judicial o administrativa
competente.
d) Supervisar o conservar todos los datos relativos a un determinado sitio de Internet
durante un período máximo de seis meses y ponerlos a disposición de la autoridad
judicial competente, cuando ésta así lo requiera.
La supervisión o la conservación de datos podrá hacerse en la forma que, siendo eficaz
para el objeto que se persiga, resulte menos gravosa para el prestador de servicios.
2. Cuando el cumplimiento de estas obligaciones pueda afectar a los derechos a la
intimidad personal y familiar o a la libertad de expresión, se respetarán las normas y
procedimientos establecidos para su protección.»
Resaltan de este precepto las obligaciones contenidas en los apartados 1.b) y d). En virtud
del primero, el proveedor de servicio estará obligado a identificar a los destinatarios de
servicios cuando se lo requiera una autoridad judicial o administrativa. El precepto de la
Directiva que transpone es el art. 15.2.inciso final; pero la norma comunitaria establece una
limitación importante que elude el legislador nacional, que es que el destinatario al que puede
identificar el proveedor es aquellos «con los que hayan celebrado acuerdos de
almacenamiento». Es decir, no podrá identificar a quienes accedan a dicha información, sino a
quienes pongan a disposición de los usuarios la información almacenada. A esta ampliación
del número de sujetos identificables ayuda la definición de destinatario a la que nos hemos

referido, que no recoge tampoco el tenor comunitario. Con esta medida se convierte al
proveedor en un delegado de la autoridad pública en la supervisión de contenidos, y se le hace
partícipe de la ejecución de medidas cautelares que pueden aplicarse en procesos penales 272.
Por otra parte, el párrafo 1.d) desarrolla la posibilidad prevista en la Directiva 273 de poder
imponer medidas de comunicación de datos ilícitos o de actividades ilícitas de los
destinatarios de sus servicios. En este caso, se trata de la posibilidad de almacenar datos de
navegación (datos relativos a un determinado sitio Internet), que supondrá la realización de
una verdadera intervención de comunicaciones electrónicas no sólo del destinatario que
mantiene la página, sino de todos aquellos que acceden a ella, cuyos datos de identificación
quedarán registrados sin tener ni la condición de sospechoso o la de imputado. La medida,
además, puede durar hasta seis meses, superando los tres meses previstos en el art. 579.3
LECr.. Esta medida responde a la preservación anticipada de datos prevista en los arts. 16 y
17 del BCCyb., pero adoptado por una norma con insuficiencia de rango normativo parea
afectar el ejercicio de derechos fundamentales.
Por las consideraciones anteriores, nuestro juicio sobre estos aspectos del ALSSICE es
muy negativo, pues incide en la regulación de medidas cautelares aplicables a procesos
penales que pueden restringir el derecho al secreto de comunicaciones, careciendo del rango
normativo exigido por el art. 81.1 CE para poder implantarlas en el ordenamiento jurídico.
6. UN ÚLTIMO APUNTE: LA VIGILANCIA GLOBAL DE LAS

COMUNICACIONES ELECTRÓNICAS. LA COMINT
6.1. Antecedentes
La medida de la intervención de las comunicaciones electrónicas ha pasado a ocupar un
puesto destacado en las secciones de noticias de sociedad de los medios de comunicación
desde que en enero de 1.998 se publicaran las primeras noticias sobre la red ECHELON, una
inmensa y antigua red de espionaje electrónico montada por los Estados Unidos y los países
de la Commonwealth.
El periodistas Nick Hagens publicó en los setenta un libro titulado «Global Power»
(Poder Global) en el que describía la red ECHELON mantenida por la Agencia Nacional de
Seguridad estadounidense (NSA). Desde entonces, sólo gracias a los esfuerzos de algunos
periodistas –como el caso de Duncal Campbell– ha podido saberse algo de este vasto
complejo de espionaje civil que, hoy día, ha alcanzado reconocimiento legal en informes del
Parlamento Europeo.
272
El art. 42 ALSSICE establece:
Medidas cautelares en el ámbito de los procesos judiciales.
«Sin perjuicio de lo dispuesto en el artículo 9, los órganos jurisdiccionales podrán adoptar las medidas
cautelares que estimen necesarias para evitar la comisión o continuación de una presunta infracción y proteger
los derechos o intereses afectados, de conformidad con las Leyes de Enjuiciamiento Civil y Criminal y las demás
normas procesales.
Dichas medidas podrán consistir, entre otras, en ordenar la retirada del contenido presuntamente ilícito o que
se imposibilite el acceso al mismo.»
273
Art. 15.2 Directiva 2000/31/CE

En diciembre de 1.997 apareció en la prensa británica (Statewatch) un artículo relativo a

la red ECHELON firmados por Duncan Campbell. En él se describía la existencia de una
entente de servicios de inteligencia de Estados Unidos, Reino Unido, Australia, Canadá y
Nueva Zelanda para la compartición de la labor de someter a escucha electrónica todos los
medios de comunicación conocidos (teléfonos, fax, correo electrónico, etc) mediante la
interceptación de las emisiones de satélites de comunicaciones, cables marinos y antenas de
radio. El original propósito de inteligencia militar había dado lugar, tras la caída del bloque
del este, a su reconversión en un sistema de espionaje económico, empleado por las naciones
del pacto frente a sus competidores europeos y japoneses.
A consecuencia de este reportaje, rápidamente difundido por las organizaciones civiles
europeas y norteamericanas, el Parlamento Europeo encargó a la Oficina de Valoraciones
Científicas y Tecnológicas (STOA) un informe acerca de la implicación de esta red en las
comunicaciones comerciales y económicas europeas. Así vio a la luz el primer informe STOA
sobre el tema en 1.999, «An apraisal of technology of political control» 274, en uno de cuyos
capítulos se describía el funcionamiento de la red ECHELON.
Basándose en el contenido de dicho estudio se suscitó en el seno del Parlamento Europeo
un serio debate acerca del tema, ante el que la Comisión ha mantenido una actitud ciertamente
distante y obstaculizadora. Prueba de ello la constituyen las numerosas preguntas
parlamentarias dirigidas por diversos miembros de la Eurocámara, contestadas siempre con la
declaración solemne del cumplimiento de las Convenciones de Derechos Humanos en todo el
ámbito territorial europeo 275
Durante 2000 la oficina STOA publicó un segundo informe, ampliamente desarrollado,
dividido en cinco partes sobre el tema, basados en el contenido de Duncan Campbell, que
forma la segunda parte del mismo, «Interception capabilities 2000».
Los informes STOA causaron diversas peticiones de investigación parlamentaria, con la
fuerte oposición de la Comisión, que desembocaron en la constitución de una Comisión
temporal de investigación sobre la red ECHELON a petición de 172 diputados 276. La
Conferencia de Presidentes había denegado tal posición en su reunión de 13 de abril de 2000.
De esta comisión, formada por 36 miembros, ha salido un primer borrador elaborado por
Gerhard Schimd, recientemente hecho público vía Internet 277, en el que se pretende dar
respuesta a las preguntas formuladas por el Parlamento acerca de ECHELON:
9 ¿existe ECHELON?
9 ¿es compatible con la legislación comunitaria?
9 ¿están protegidos los derechos de los ciudadanos europeos frente a las actividades de
los servicios de inteligencia?
9 ¿es la encriptación un medio de protección adecuado para garantizar la vida privada de
los ciudadanos?
9 ¿cómo se puede reforzar la conciencia de las instituciones europeas sobre los riesgos
que encierran estras actividades?
274
«Una aproximación a las Tecnologías de Control Político».
275
Preguntas escritas E-1039/98, E-1040/98, E-1306/98, E-1429/98, E-1776/98, E-1987/98, E-03337/99, p-
0665/00, E-2436/00 y E-2469/00. Y preguntas orales H-1067/98 Y H- 0092/99.
276
Decisión B5-0593/2000, DOCE C 121, 24 abril 2001.
277
http://cryptome.org/ECHELON-ep.htm También en http://fas.org/irp/program/process/europarl.draft.pdf

9 ¿está expuesta la industria europea a riesgos como consecuencia de la interceptación

global de comunicaciones?
9 ¿qué propuestas políticas y legislativas cabe hacer? 278
6.2. Las redes de vigilancia electrónica global. ECHELON 279

Durante la II Guerra Mundial los aliados formaron una red de inteligencia militar
denominad SIGNINT (Signal Intelligence, Inteligencia de señales) con vistas a la
interceptación e investigación de las señales emitidas por las fuerzas alemanas y japonesas.
Tras la finalización de la Guerra, con la construcción del Bloque del Este, la inteligencia
militar se hizo precisa para hacer frente al gran enemigo occidental, razón por la que los
gobiernos de Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda aprobaron en
1.948 el Tratado UKUSA (de UK/Reino UnidoUSA/Estados Unidos), que sustitutía al
primigenio BRUSA (Britain-USA). Por dicho Tratado se establecía una comunidad de
Inteligencia de las Comunicaciones (COMINT) en la que las agencias de inteligencia (NSA
por EEUU, GCHQ –Global Communications HeaQuarters– por UK, DSD -.Defense Signal
Directorate por Australia, CSE -Canadian Communications Security Establishment por
Canadá y GCSB –New Zeland Government Communications Security Boureau–) ponían en
común sus instalaciones y métodos para compartir resultados.
Posteriormente fueron admitidos, como terceras partes, la colaboración de Alemania
Federal, Japón y Turquía.
La red ECHELON intercepta las señales de comunicación existentes en el espacio
radioeléctrico mediante grandes estaciones de radio (Menwith Hill, en Inglaterra; Bad
Ambling en Alemania) y de una red propia de satélites de espionaje, que sirven para el rastreo
de cuantas comunicaciones se produzcan a través de satélites, cables y antenas.
El material seleccionado es cribado en centros de procesamiento, donde, mediante
sofisticados programas de inteligencia artificial se traducen las palabras a textos que son
cotejados con «diccionarios» de términos significativos para diversos intereses de la
comunidad de inteligencia (drogas, terrorismo, intereses económicos, etc). De las selecciones
efectuadas se realizan informes de los mensajes significativos que son remitidos a las
agencias participantes.
Si los iniciales objetivos eran de ámbito estrictamente militar, a partir de los sesenta y
principalmente de los setenta se fue centrando su empleo en intereses económicos de sus
propios aliados, sirviendo para adoptar posiciones estratégicas en las rondas de negociaciones
de los acuerdos GATT sobre el libre comercio 280, o para desbancar a competidores
industriales europeos frente a las industrias de sus propios países, a las que recompensaban
sus esfuerzos en investigación. Los objetivos también pasaron a ser políticos de los propios
países que mantienen esta red.
No obstante la importancia que parece tener la red de espionaje ECHELON, según se
desprende de las conclusiones preliminares del diputado Schimd, no existe una cobertura y un
poder vigilante de tan alta capacidad, por la ausencia de acceso a todos los canales de
278
Decisión B5-0593/2000
279
Aparte de los informes STOA, de ineludible lectura para entender este interesante problema, debe también
citarse el preciso resumen de POOLE, Patrick S., ECHELON: American Secret Global Surveillance Network,
disponible en http://www.freecongress.org/ctp/ECHELON.htm
280
Como sucedió ante la Ronda Uruguay

comunicación 281; por la falta de capacidad tecnológica actual para realizar reconocimientos
de voz fidedignos en un entorno multilingüe, y por la ausencia de personal analista en la
cantidad suficiente para tratar toda la información que es posible recoger.
Pero aparte de ECHELON cabe hablar de numerosos intentos de Comint en la actualidad,
El informe parlamentario alude a que tanto Francia como Rusia son los dos países con
capacidad tecnológica y geográfica suficiente para afrontar por sí mismos una empresa de esta
naturaleza 282. Tampoco pueden olvidarse intentos orientados a
6.3. ¿Son legales en Europa los sistemas de vigilancia electrónica global?

El interés del informe del Parlamento Europeo, frente al resto de documentos sobre
ECHELON, efectúa un análisis jurídico del fenómeno de la utilización de redes de
inteligencia electrónica en el ámbito jurídico europeo.
Las conclusiones a las que llega el informe parlamentario, plenamente coincidente con
nuestros planteamientos, pueden resumirse de la siguiente forma:
A nivel comunitario, no existe norma alguna que obligue al sometimiento al acervo
comunitario de estas prácticas de inteligencia. El Título V y VI del tratado de
Maastrich (Defensa y Fronteras Exteriores, y Justicia y Asuntos de Interior) no son
competencia de las instituciones comunitarias, hallándose regulado por normas
internacionales entre los países de la Unión Europea.
o Las Directivas de aplicación a la materia, la 95/46/CE de 22 de octubre sobre
protección de datos personales, y la 97/66/CE de 15 de diciembre, de
protección de datos y de la intimidad en las telecomunicaciones, no son de
aplicación a este terreno, expresamente excluidas de ambas, que se dejan a la
legislación interna de cada Estado.
o No obstante, si los sistemas de espionaje se dedicasen a objetivos económicos
y a información de tal naturaleza para favorecer a las industrias de sus países
en detrimento de otras competidoras, el sistema sí caería dentro del ámbito de
las Directivas, al no estar actuando como redes de inteligencia con motivos de
seguridad y orden público, sino de mera acción económica, haciéndolo con
violación de los principios de lealtad y de libre competencia en el mercado
interior.
o El art. 286 del TCE, que impone el respeto al derecho a la protección de datos
personales en el ámbito de las instituciones comunitarias tampoco sirve de
marco legal, puesto que estas instituciones son de ámbito interno y no
compartido ni reconocidas como instituciones comunitarias
281
Especialmente a los cables submarinos de fibra óptica, que tampoco parecen accesibles tecnológicamente en
la actualidad. No obstante, la duda sobre esta capacidad se mantiene: «Spy agency taps into undersea cable», en
Zdnet.News, 23 de mayo de 2001, http://www.zdnet.com
282
De Francia se habla de FRENCHELON, y de Rusia de SORM o de FAPSI. En Estados Unidos la CIA
también intenta aplicar mecanismos de data-mining (o minería de datos) para fines de inteligencia exterior,
basadas en las tecnologías ECHELON: «CIA patching ECHELON shortcomings», en The Register , 7 marzo
2001 http://www.theregister.co.uk/content/8/17361.html . E incluso en España se plantea la creación de un
centro único de inteligencia y de participar en programas de sigint y comint como Helios o el proyecto Santiago.
«Defensa planea crear una agencia militar de espionaje para apoyar al ejército», en El País, 20 de marzo 2000.

o La Carta de Derechos Fundamentales en la Unión Europea no ha sido recogida

entre los Tratados constitutivos, por lo que sólo tiene valor político y
simbólico, pero no jurídicamente vinculante.
o Los dos únicos documentos legales directamente relacionados con el tema, la
Resolución de la Comisión de 12 de enero de 1995 y el Convenio de
cooperación judicial penal de 29 de mayo de 2000 entre los países de la Unión
Europea, no autorizan la constitución de una red así. El primero no deja de ser
una recomendación a la industria y al sector de las telecomunicaciones para
que implante los protocolos y requisitos técnicos que permitirían la
interceptación legal, caso por caso, de las comunicaciones; en tanto que el
segundo prevé las interceptaciones siempre dentro del cumplimiento del
derecho interno de cada uno de los países, lo que tampoco constituye base para
la creación de una comunidad de inteligencia. Aunque de hecho la
homogeneización de requisitos técnicos para proceder a las intervenciones en
el ámbito interno conducen a una comunidad de inteligencia.
La CEDH permite la posibilidad de restricciones al derecho al secreto de la
correspondencia y al respeto de la vida privada basada en razones de defensa nacional,
conforma al art. 8.2. Pero ello ha de realizarse mediante leyes accesibles y de
consecuencias previsibles, así como mediante la adopción de medidas proporcionadas.
La mayoría de los acuerdos por los que se establecen este tipo de ententes no cumplen
estos requisitos, al permanecer ajenos al conocimiento público, y no justificarse la
necesidad y proporcionalidad de la existencia de un régimen global de intervención de
cualquier tipo de comunicación.
Los países que forman parte de la comunidad de inteligencia ECHELON (Inglaterra y
Alemania) han de velar por el cumplimiento, tanto por su parte como por la de sus
socios, de las previsiones del CEDH, exigiendo la publicación en EEUU de las normas
que autorizan el funcionamiento de estos sistemas, y acordando medidas de garantías
tales como comités o comisiones parlamentarias de control de las actividades de
inteligencia exterior. De otra forma se estaría incurriendo en violación de los
principios de la CEDH.
No puede concluirse sino citando nuevamente el parágrafo 65 del caso Laender que
reflejábamos en la nota a pie de página nº 77: es preciso asegurar «la existencia de garantías
adecuadas y suficientes contra los abusos, pues un sistema de vigilancia secreta destinado a
proteger la seguridad nacional crea un riesgo de socavar, incluso destruir, la democracia por
tratar de protegerla». Ya dijimos entonces que la cita era muy actual. Ahora se explica porqué.

Intervenciones Telefonicas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Intervenciones Telefonicas

Cargado por

Copyright:

Formatos disponibles

LA INTERVENCIÓN

Francisco J. Hernández Guerrero

5.2. El derecho fundamental a la protección de datos personales .................................... 44

4.2.c) La legislación española ...................................................................................... 90

PARTE I: RÉGIMEN LEGAL DE PROTECCIÓN DEL

1.1. Globalización de las comunicaciones; personalización de los mensajes.

1.2. Convergencia de las señales de comunicación

1.3. Competitividad y libre circulación

Una de las medidas encaminadas al favorecimiento de la competencia más que a la

1.4. El fenómeno Internet 7

La aparente alegalidad de Internet ha de ser descartada; el Grupo de Trabajo del art. 29 ha

Las comunicaciones electrónicas constituyen un bien económico susceptible de

dignidad humana frente a contenidos ilícitos y nocivos, especialmente en el caso de la

MORENILLA RODRÍGUEZ 15, incluyendo, por supuesto, las comunicaciones telefónicas

previstas en el Convenio 108. Especial atención se le confiere al derecho de información,

- Propuesta de Directiva del Parlamento Europeo y el Consejo relativa al acceso a

2.2.b) Sobre protección de datos personales

Dado que el contenido de las Directivas será considerada en detalle en un apartado

criterio determinante ni el lugar de alojamiento de los medios técnicos ni el lugar

La ley determina el procedimiento de adjudicación de las licencias y autorizaciones a los

En el RDLFE, al igual que en la Directiva correspondiente, se incluye un precepto con

3. LOS SUJETOS IMPLICADOS EN LAS COMUNICACIONES

La hasta ahora actual relación remitente-destinatario-operador de servicios, participante en

Agente Función Posible tratamiento de Preceptos pertinentes

Online - Transferir la petición líneas de llamada en especial

Página inicial / sitio - Ofrecer información - Posible registro de

Proveedores de - Personalizar páginas - Elaboración de - No siempre constituye

Proveedores de - Conectar a los Direccionamiento de - Directiva de

3.2.a) Los proveedores de servicios de comunicaciones electrónicas

Su actividad la desarrollan mediante el envío de ficheros de texto denominados cookies,

penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que

4. LOS OBJETOS DE PROTECCIÓN

4.1. De las telecomunicaciones a las comunicaciones electrónicas

comunicaciones electrónicas, como «cualquier dato tratado en el curso de o a efectos de la

No obstante, si analizamos la legislación relativa a los datos de facturación incluida en la

El acceso a esta información se haría posible, de aprobarse el Borrador, siempre que la

5. LOS INSTRUMENTOS LEGALES DE PROTECCIÓN

En este análisis –capa a capa– del régimen de intervención de las comunicaciones

hilo de las comunicaciones electrónicas– , considerando para ello el tenor de la regulación

o La protección del bienestar económico ha sido considerado como una finalidad

concreto. Las medidas de intervención de comunicaciones de propósito global (la

repercusión social: SSTS 467/1998, de 3 de abril; y 622/1998, de 11 de mayo, citadas por la

escucha, la grabación, el almacenamiento u otros tipos de interceptación o vigilancia de

La protección de la confidencialidad se manifiesta en la imposición a los operadores de

 El anonimato no es apropiado en todas las circunstancias. Debe por ello buscarse un

consideró ilícito el tratamiento de los datos de afiliación sindical en poder de la empresa a

legitimadores del tratamiento previstos por la DPD; en concreto, el principio de información,

dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes

Por ello, los Grupos especializados en materia de protección de datos y de

El riesgo de tratamientos desleales en Internet es mayor por cuanto muchos de ellos se

La posibilidad de oponerse a la presentación del número desde el que se llama es una

requieren el consentimiento inequívoco del interesado, por cuanto se estima tácitamente

PARTE II: LA INTERVENCIÓN LEGAL DE LAS

2. REGULACIÓN LEGAL DE LAS INTERVENCIONES DE LA

La ausencia ya anticipada de normas propias relativas a estas materias nos obligan a

«Nadie puede ser objeto de injerencias arbitrarias p abusivas en su vida privada, en la de

La aplicación de este test a la intervención de mensajes de correo electrónico ha sido

3. Regulación del Consejo de Europa. Mutua Asistencia Judicial Penal

sobre información de suscripción; búsquedas y comiso de datos informáticos almacenados; y

 La necesidad de poder intervenir telecomunicaciones con exclusión de las que no

4.3. El Convenio de la Unión Europea de asistencia judicial penal de 29 de mayo

 De otra, introduce nuevas medidas procesales, tales como la videoconferencia (art.

inmediatamente por escrito motivado al Juez competente, quien, también de forma

El anonimato no es apropiado en todas las circunstancias. Debe por ello buscarse un

La necesidad de poder intervenir telecomunicaciones con exclusión de las que no

De otra, introduce nuevas medidas procesales, tales como la videoconferencia (art.

Porque la petición se refiere a un delito que la Parte requerida considera un delito