Ley de Conservación de Datos: ¿hacia su modificación? : ECIJA

15 junio, 2013

En el ámbito de la Unión Europea, existe, desde el año 2002, la obligación de todas las compañías operadoras de servicios de telecomunicaciones de todos los Estados miembros de conservar los datos relativos a las comunicaciones de los usuarios a quienes prestan servicios, así como a costear el almacenamiento de millones de datos de usuarios, con el fin de colaborar en las investigaciones criminales de las autoridades nacionales de cada país. A continuación, analizamos qué sucedería si dicha obligación fuese modificada – a través de un cambio en la Ley de Conservación de Datos- con el fin de quedar adaptada a las nuevas necesidades sociales y empresariales europeas.

En España, la trasposición de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, se llevó a cabo a través de la Ley 25/2007, de 18 de octubre, de Conservación de Datos (LCD), que tiene por objeto establecer la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los “agentes facultados” (según la propia LCD, las Fuerzas y Cuerpos de Seguridad del Estado y personal del Centro Nacional de Inteligencia, entre otros).

Así pues, la Ley de Conservación de Datos habilita a que los agentes facultados puedan obtener de los operadores de telecomunicaciones los datos personales relativos a las comunicaciones que, relacionadas con una investigación policial, se hayan podido efectuar por medio de telefonía fija, móvil o Internet, por alguno de sus abonados.

Necesidad de cambios en la Ley de Conservación de Datos

Desde la entrada en vigor en España de la Ley de Conservación de Datos en el 2007, se han estado debatiendo los posibles cambios de la norma que podrían acometerse, fundamentalmente en relación con los períodos de conservación de los datos de tráfico y localización, así como con la gravedad de los delitos, necesaria para exigir la entrega de datos por parte de las operadoras a los agentes facultados.

En cuanto a la gravedad de los delitos, planteamos la necesidad de unificar criterios a nivel comunitario de manera que permitan, por un lado, facilitar la cooperación policial a nivel internacional y, por otro, reducir los costes para las operadoras de telecomunicaciones.

Ante la obligación de cooperación impuesta por la Ley de Conservación de Datos surge la duda de si el grado de intromisión que ésta permite en la privacidad de los ciudadanos goza de amparo constitucional. En definitiva, nos preguntamos si las operadoras tienen la obligación de facilitar a la Policía todo tipo de datos de sus clientes cuando alguno de ellos ha podido cometer un delito. La respuesta, tranquilizadora sin duda, es no. ¿Por qué?

La Ley de Conservación de Datos tiene como fin compatibilizar, de la manera más ecuánime posible la protección de la seguridad pública de los ciudadanos, junto con otros derechos, como los relativos a la privacidad y a la intimidad de las comunicaciones de los usuarios.

En este sentido, la Ley de Conservación de Datos recoge la doctrina establecida en pronunciamientos anteriores del Tribunal Constitucional, de modo que introduce en la norma las siguientes garantías: en primer lugar, que los datos sobre los que se establece la obligación de conservación son exclusivamente los datos vinculados a la comunicación o transmisión (es decir, los datos de tráfico y de localización), pero sin que pueda revelarse en ningún caso su contenido (la conversación). En segundo lugar, que la cesión de tales datos exigirá, siempre, la previa autorización judicial.

Por consiguiente, no todos los datos de los que disponga la operadora deberán ser facilitados a los agentes facultados, sino sólo los que permitan verificar la realidad de la comunicación, aunque no la comunicación misma. Tampoco deberán ser entregados cuando la investigación verse sobre hechos que no sean constitutivos de un delito grave.

El delito grave como único criterio

Frente al criterio generalizado de que delitos graves son solo aquellos que así establece el Código Penal, es decir, los que tienen una pena de más de 5 años de prisión, la jurisprudencia de las Audiencias Provinciales ha venido señalando en los últimos años que, para poder determinar el concepto de delitos graves, debe tenerse en cuenta no sólo la pena, sino también el bien jurídico protegido y la relevancia social de los hechos, de acuerdo con la jurisprudencia del Tribunal Constitucional (SSTC 166/1999 y 299/2000).

Esta jurisprudencia entiende que, puesto que se trata de casos relacionados con delitos que tienen que ver con el empleo de medios informáticos para su perpetración, los daños pueden ser mayores e indeterminados por afectar a una generalidad de personas, por lo que debe tenerse en cuenta este elemento para determinar la gravedad del delito. De este modo, el Tribunal Constitucional ha legitimado, en algunos supuestos, la entrega de la identificación del titular de la IP en casos de penas de menos de 5 años.

La cuestión no es menos controvertida si nos fijamos en las legislaciones de otros Estados miembros de la UE. Así, por ejemplo, Portugal (Lei nº 32/2008, de 17 de Julho), Malta (L.N. 198 of 2008 Data Protection Act (CAP. 440) o Luxemburgo (Loi du 24 juillet 2010 portant modification des articles 5 et 9 de la loi modifiée du 30 mai 2005), limitan también la entrega de datos a los delitos graves. En cambio en Francia (Décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques) la cesión de datos personales a los agentes facultados está justificada en casos de investigación de infracciones penales, sin llegar a delimitar si se trata de infracciones leves o graves. El origen de la disparidad reside en que cada país hace una interpretación de la Directiva 2006/24/CE en función de sus necesidades sociales.

Por tanto, plantear un cambio legislativo a nivel comunitario con el fin de armonizar la gravedad de los delitos con un criterio único introduciría, en nuestra opinión, mayor grado de seguridad jurídica si bien resultaría, cuanto menos, lento y costoso.

En el terreno del Derecho interno, cabe plantearse la flexibilización del criterio de la Ley de Conservación de Datos, sustituyendo la necesidad de que el delito deba calificarse como grave por el simple hecho de que se lleve a cabo la investigación de infracciones penales, tal y como menciona la ley francesa. Ahora bien, ello no rebaja la intensidad del debate social, pues mantiene abierta las importantes cuestiones en torno a si se está protegiendo al ciudadano a costa de exponer su privacidad con menos limitaciones a la intromisión por el poder público.

En todo caso, la oportunidad de la modificación legislativa debe valorarse en términos de la efectividad de la regulación actual así como de los costes y cargas administrativas impuestas a las operadoras de telecomunicaciones. Es decir, en principio podríamos entender necesaria la modificación de la LCD si la información que ésta permite revelar no fuera suficiente para el esclarecimiento de los delitos graves o, al menos, de un sustancial número de ellos, de manera que la regulación actual se demostrara ineficaz.

Otro supuesto sería que la presente redacción de la Ley de Conservación de Datos vulnerase algún precepto constitucional, o si ésta, en la contraposición de intereses que pretende equilibrar, provocase una merma injustificada de unos derechos sobre otros, todos ellos susceptibles de tutela constitucional, cuestión que aún no ha sido planteada ante el Tribunal Constitucional, por lo que puede entenderse que la LCD es respetuosa con la norma fundamental y no requiere una modificación radical de sus fundamentos.

Almacenamiento de los datos y costes asociados

Por regla general, la obligación de conservación de datos impuesta por la Ley de Conservación de Datos cesa a los doce meses, computados desde la fecha en que se haya producido la comunicación (llamada, mail, etc.).

Teniendo en cuenta el volumen de datos almacenados diariamente por cada operador y la colaboración que en ocasiones se exige entre países para la investigación de los delitos, (puesto que las comunicaciones frecuentemente pasan por varios países y, por tanto, hay más de un operador involucrado), estamos hablando de millones de datos que deben estar a disposición de las autoridades nacionales o internacionales que estén investigando el supuesto delictivo. Además, dada la libertad de cada Estado miembro para fijar los plazos de conservación de los datos, dependiendo del país del que se solicite la colaboración, éstos pueden ser inferiores a los doces meses que marca nuestra Ley de Conservación de Datos, por lo que la persecución del delito puede resultar infructuosa.

En la mayoría de los casos, para llevar a cabo las investigaciones a nivel internacional, será necesario solicitar la intermediación de las autoridades de control del país de residencia de la operadora a la que los agentes facultados estén solicitando datos, a riesgo de que la operadora pueda haber borrado o destruido la información, lo que, dada la naturaleza de los medios utilizados en la comisión del delito, impide el rastreo de las comunicaciones.

Por otro lado, si bien los plazos de conservación no pueden considerarse extensos, el enorme volumen de información que se ven obligados a almacenar provoca que el deber de colaboración con las autoridades lleve implícito la asunción de importantes costes internos por cada operadora.

Ante esta situación, ¿qué se puede hacer para poder continuar de manera satisfactoria con la investigación criminal?

Una medida a estudiar es la centralización del almacenamiento de los datos de tráfico y localización de todas las operadoras europeas, o con datos que circulen por el espectro radioeléctrico europeo, en un nodo único de gestión.

Las ventajas de la creación de este nodo único se evidenciarían, por un lado, en el almacenamiento centralizado de datos de todas las operadoras obligadas por la Directiva 2006/24/CE, y por otro en la unificación de plazos de conservación de la información, todo lo cual redundaría en una mayor rapidez para perseguir los delitos informáticos y telemáticos por todos los agentes facultados de todos los Estados miembros.

Finalmente, el nodo único de gestión permitiría una considerable reducción de costes de infraestructura que ahora soportan individualmente todas las operadoras, al poder centralizar el almacenamiento de millones de datos.

Como es lógico, el desarrollo de este nodo único requiere del impulso de las autoridades comunitarias, con vistas a su regulación, y a sufragar gran parte de los costes asociados a su implantación y mantenimiento, puesto que se trata de una obligación impuesta por el Derecho comunitario. Por consiguiente, la fórmula de la colaboración público-privada supondría importantes ventajas para todos los agentes implicados.

Medidas técnicas de seguridad

La Directiva 95/46/CE, del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en la que se menciona la obligación de establecer medidas de seguridad en los ficheros que almacenen datos personales, tiene su propio desarrollo normativo en cada país, siendo en España el caso de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y su Reglamento de desarrollo (Real Decreto 1720/2007, de 21 de diciembre), que establece las medidas técnicas de seguridad a implementar en los sistemas de información que almacenen datos personales, en función de su tipología.

En cumplimiento de este Reglamento, cada operadora española o ubicada en España, cuando los datos son almacenados en territorio español, tiene la obligación de implementar una serie de medidas de seguridad catalogadas por niveles de datos tratados (básico, medio y alto). A su vez, cada Estado miembro tiene las mismas obligaciones, si bien existen algunas variaciones de unas medidas a otras en función de la trasposición que cada uno haya efectuado.

No obstante, en el caso de las medidas de seguridad existe ya una iniciativa de la Unión Europea para homogeneizar las regulaciones en esta materia, avanzando así en la centralización propuesta en este artículo con el nodo único. En efecto, la Comisión Europea presentó en 2012 una propuesta de Reglamento Europeo de Protección de Datos, que deberá entrar en vigor en 2014, a fin de coordinar la actuación de las autoridades nacionales de protección de datos y el Supervisor Europeo de Protección de Datos, apostando por la transición entre la aplicación de las actuales normas nacionales y la futura norma única europea de privacidad.

Es este un primer paso que puede desembocar, en un futuro más o menos cercano, en la implantación de un nodo único de conservación de datos basado en la globalización de información y en el ahorro de costes para las operadoras de telecomunicaciones.

Por Belén Viyella, asociada senior de Information Technology de ECIJA

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

Necesidad de cambios en la Ley de Conservación de Datos

El delito grave como único criterio

Almacenamiento de los datos y costes asociados

Medidas técnicas de seguridad