INTECO_01 Privacidad y secreto en las telecomunicaciones

Guías Legales

PRIVACIDAD Y SECRETO EN LAS TELECOMUNICACIONES

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓNÁrea Jurídica de la Seguridad y las TIC

2

2

Instituto Nacionalde Tecnologías de la Comunicación

El secreto de las telecomunicaciones y la protección de datos El derecho a la intimidad y al secreto de las comunicaciones queda protegido expresamente por el art.18 de la Constitución Española de 1978.

Es innegable la relación existente entre la protección de datos de carácter personal de los ciudadanos, el derecho al secreto de las telecomunicaciones y a la intimidad dispuesto en el art. 18.3 de la Constitución Española de 1978, en el que se establece expresamente que “…Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial…”

A pesar de no indicarse expresamente, las comunicaciones que se realizan a través de medios electrónicos se encuentran protegidas por este precepto, ya que la enumeración es meramente enunciativa.

El derecho al secreto de las telecomunicaciones, como cualquier otro, podrá verse limitado en momentos determinados, tal y como indica el art. 8 del Convenio Europeo de Derechos Humanos1. De igual forma la existencia de un verdadero derecho fundamental es igualmente apreciada por la práctica totalidad de la doctrina, así como por la propia jurisprudencia del Tribunal Constitucional Español (TC).

A continuación se indican cuáles son los requisitos que la normativa ha establecido en relación a la posibilidad de imponer, conforme a la legislación vigente, límites a estos derechos de los ciudadanos:

• La necesidad de una Ley para restringir o limitar un derecho fundamental como el del secreto de las comunicaciones es un requisito aceptado unánimemente, tanto por la doctrina, como por el propio Tribunal Constitucional Español2. Esta exigencia supone el cumplimiento del principio democrático por el que cualquier límite a un derecho fundamental debe ser aprobado por los representantes de la soberanía popular (el Parlamento), lo que garantiza la seguridad jurídica de los ciudadanos.

1 Firmado en Roma el 4 de noviembre de 1950 y ratificado por España el 26 de septiembre de 1979. 2 La STC 49/1999, de 5 abril indica “...Por mandato expreso de la Constitución Española toda injerencia estatal en el ámbito de los derechos fundamentales y libertades públicas, que incida directamente sobre el desarrollo (artículo 81.1 de la Constitución Española), o limite o condicione su ejercicio, precisa de una habilitación legal.

La intimidad y el secreto de las comunicaciones es un derecho fundamental.

3

3


En el caso del secreto de las telecomunicaciones, será la Ley de Enjuiciamiento Criminal (en adelante, LECrim), y más concretamente su art. 579 la encargada de regular la forma en que podrán ser intervenidas las comunicaciones de un ciudadano. Igualmente, es de aplicación la Ley Orgánica 2/2002 de 6 de mayo reguladora del control judicial previo del Centro Nacional de Inteligencia (C.N.I) que restringe la intervención de las comunicaciones por parte de este organismo.

• El segundo de los requisitos es la necesidad y proporcionalidad de las medidas adoptadas respecto a los hechos que motivaron su puesta en práctica.

Las medidas restrictivas deben estar justificadas de forma que quede patente que son necesarias y adecuadas al fin para el que han sido concebidas, teniéndose en cuenta que tan solo estarán justificadas en el caso de existir un interés público, que se realicen para la defensa, seguridad o bienestar económico del Estado así como para la persecución de delitos.

En materia de telecomunicaciones, hay que atender a lo previsto por la Ley 32/2003 General de Telecomunicaciones (LGT). Concretamente, el art. 3 de la LGT establece como una de sus finalidades básicas garantizar “…la protección de los datos personales y al secreto en las comunicaciones…” regulando en su capitulo III título III, y más particularmente en su art. 35, los requisitos que deberán tenerse en cuenta a la hora de realizar la intervención de las comunicaciones.

Particularmente la ley establece los siguientes requisitos:

1. La Administración de las telecomunicaciones deberá diseñar y establecer sus sistemas técnicos de interceptación de señales en forma tal que se reduzca al mínimo el riesgo de afectar a los contenidos de las comunicaciones (art. 35.1.a). 2. Cuando, como consecuencia de las interceptaciones técnicas efectuadas, quede constancia de los contenidos, los soportes en los que éstos aparezcan no podrán ser ni almacenados ni divulgados y serán inmediatamente destruidos. (art 35.1.b). 3. Las mismas reglas se aplicarán para la vigilancia del adecuado empleo de las redes y la correcta prestación de los servicios de comunicaciones electrónica (art 35.2).

Es preciso que la necesidad, oportunidad y proporcionalidad condicionen la intervención de las comunicaciones.

4

4


35.3).

el derecho al honor, a la intimidad personal y familiar y a la propia imagen...”

d personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos…”

del haz general de protección otorgado por el art. 18.1 de la CE.

por terceros pueda afectar a sus derechos, sean o no fundamentales…”

ersonal. Este análisis se realiza desde el punto de vista europeo y nacional.

respecta al tratamiento de datos personales y a la libre circulación de estos

Lo establecido en este artículo se entiende sin perjuicio de las facultades que a la Administración atribuye el artículo 43.23de este mismo cuerpo legal. (art.

Asimismo, se ha de analizar lo relativo a la protección de datos en las telecomunicaciones y lo dispuesto en el art. 18.1 de la Constitución Española de 1978 (CE), donde se afirma que “…Se garantiza

Por su parte, el art. 18.4 de la Constitución Española de 1978 dispone que “…la ley limitará el uso de la informática para garantizar el honor y la intimida

Este ultimo precepto posibilita el encumbramiento de un autentico derecho fundamental a la protección de datos, claramente diferenciado

En este sentido se ha decantado la jurisprudencia del Tribunal Constitucional español, quien ha defendido4 la existencia independiente de un auténtico derecho a la protección de datos de carácter personal, que no solo afecta a los datos de carácter intimo de los individuos, sino a cualquiera “… cuyo conocimiento o empleo

Legislación aplicable en el ámbito del secreto de las comunicaciones. A continuación se realiza una breve referencia sobre la legislación aplicable al secreto de las comunicaciones, la retención de datos y la protección de datos de carácter p

• A nivel europeo, toda la materia relativa a la protección de datos se encuentra regulada por la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que

3 La administración, gestión, planificación y control del Espectro Radioeléctrico incluyen, entre otras funciones, la elaboración y aprobación de los planes generales de utilización, el establecimiento de las condiciones para el otorgamiento del derecho a su uso, la atribución de ese derecho y la comprobación técnica de las emisiones radioeléctricas. Asimismo, se integra dentro de la administración, gestión, planificación y control del referido espectro la inspección, detección, localización, identificación y eliminación de las interferencias perjudiciales, irregularidades y perturbaciones en los sistemas de telecomunicaciones, iniciándose, en su caso, el oportuno procedimiento sancionador. 4 STC 292/1000, de 30 de Noviembre, STC 254/1993.

5

5


datos. Esta directiva fue la primera norma de carácter genérico promulgada en materia de protección de datos de los ciudadanos europeos.

Esta primera fuente normativa no contaba, sin embargo, con medidas especificas orientadas a regular y controlar todos los riesgos y peligros que el nacimiento de una sociedad basada en los medios digitales suponía para la protección de datos.

Con este motivo se dispuso la elaboración de una norma que contara con las medidas adecuadas a esta nueva realidad, dirigida a proteger los datos y la intimidad de los ciudadanos en el sector de las telecomunicaciones. Esta regulación se cristalizaría en la aparición de la Directiva 97/66/CE, del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. Esta Directiva complementa a la 95/46/CE en lo que se refiere a las disposiciones técnicas y jurídicas específicas para el ámbito de las telecomunicaciones.

Por su parte, la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, más conocida como “Directiva sobre la privacidad y las comunicaciones electrónicas”, tiene por objetivo armonizar las disposiciones de los estados miembros para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, de:

a. El derecho a la intimidad en lo que respecta a las telecomunicaciones.

b. La protección de datos personales en el sector de las telecomunicaciones.

c. La libre circulación de los datos personales en la Unión Europea.

Por último, se debe hacer referencia a la Directiva 2006/24/CE del Parlamento Europeo y del Consejote 15 de marzo de 2006 sobre conservación de datos de tráfico en las comunicaciones electrónicas. Esta norma nace con el objetivo claro de poner a disposición de los estados miembros de la Unión Europea una herramienta más con la que poder luchar eficazmente contra el terrorismo y el crimen organizado, en los que la retención y conservación de datos adoptan un papel relevante.

• En el ámbito nacional, la legislación a tener en cuenta es la siguiente:

6

6


En el ámbito constitucional se ha de tener presente lo dispuesto en el art. 18 de la CE, que establece la naturaleza y alcance de la protección que el derecho a la intimidad otorga a los ciudadanos, así como la Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar, y a la Propia Imagen.

Igualmente, hay que tener en cuenta lo dispuesto en la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, y lo referido en la Ley 34/2003 General de Telecomunicaciones, que establecen el régimen aplicable a las consideradas comunicaciones por vía electrónica, así como las disposiciones pertinentes en materia de Protección de Datos de Carácter Personal que establecen la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y el Reglamento de Medidas de Seguridad (RMS).

Por último, las posibles responsabilidades derivadas de la vulneración de la intimidad de los ciudadanos, así como las estipuladas en la normativa antes mencionada, se regulan de acuerdo a lo establecido por la Ley Orgánica 1/1995 del Código Penal.

Todo ello proporciona una visión de la legislación aplicable a nivel nacional para abordar el análisis de la privacidad y el secreto en las telecomunicaciones.

La retención de datos de carácter personal Los últimos años del siglo XX y el comienzo del siglo XXI han sido testigos de un aumento muy importante de las medidas de control y fiscalización de los medios de comunicación, particularmente desde los trágicos acontecimientos del 11 de septiembre de 2001 en la ciudad de Nueva York, del 11 de Marzo de 2004 en Madrid y del 7 de Julio de 2005 en Londres.

Este crecimiento exponencial experimentado por las medidas de seguridad y vigilancia en casi todos los aspectos de la vida, han supuesto en muchas ocasiones interferencias en la intimidad y en la vida privada de los ciudadanos. Resulta evidente que en una sociedad fundamentada en los avances técnicos y las telecomunicaciones, este hecho tiene un peso muy específico en estas materias.

Una de las consecuencias directas de una mayor restricción de las libertades incide en lo que se conoce genéricamente como “la retención de datos en el ámbito de las

7

7


telecomunicaciones”, que obliga a los prestadores de servicios a almacenar ciertos datos relativos a cómo y cuándo se han producido las comunicaciones5.

Directiva 2006/24/CE

El impulso comunitario a este tipo de políticas viene dado por la Directiva 24/2006/CE sobre conservación de tráfico de las comunicaciones electrónicas, que impone a los proveedores de estos servicios ciertas obligaciones. Concretamente, retener y conservar durante un tiempo determinado los datos relativos al origen; destino; fecha; hora de inicio y de fin; tipo de comunicación realizada; equipo utilizado y los datos de geolocalización de la comunicación.

Esta normativa pone de relieve tres tipos de sujetos con intereses contrapuestos en mayor o menor medida:

1. Por una parte las autoridades, interesadas en proteger y velar por la seguridad de los ciudadanos, para lo cual necesitan albergar la mayor cantidad de datos durante el mayor plazo de tiempo posible, para llevar a cabo las tareas de control y prevención de delitos graves, especialmente de terrorismo.

2. Por otra parte los proveedores de servicios, que abogan porque los datos sean almacenados durante el menor tiempo posible y les sean reembolsados los costes en que incurran por el cumplimiento de estas obligaciones legales.

3. Por ultimo los ciudadanos, quienes pretenden que la retención de datos afecte al menor número posible de los mismos y que en ningún caso se intervenga el contenido de las comunicaciones que llevan a cabo a través del teléfono, Internet y el correo electrónico, etc.

5 Los conocidos como datos de tráfico y localización.

8

8


Antes de su aprobación, organismos como el Grupo del art.29.6, el Comité Económico y Social Europeo (CESE), el Supervisor Europeo de Protección de Datos7 (SEPD) y el propio Parlamento Europeo manifestaron su intranquilidad y reservas frente a la naturaleza y medios previstos por la Directiva para lograr los fines establecidos en la exposición de motivos. Estas dudas se relacionan básicamente con la utilidad y proporcionalidad de los medios utilizados, así como la falta de detalle sobre ciertos aspectos, tales como la forma de destrucción de los datos (una vez superado el plazo de tiempo de conservación), la seguridad durante la conservación, las finalidades para las que se podrán emplear, etc.

El impacto de este tipo de normativa en los derechos fundamentales (intimidad y protección de datos) es elevado, de ahí que se planteen dudas respecto a su constitucionalidad y conformidad con las normas básicas de la Unión Europea.

Proyecto de Ley de Conservación de Datos8

La Directiva 24/2006 ha sido objeto de transposición a la normativa española mediante el actual Proyecto para la futura ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

La exposición de motivos de la ley justifica su existencia en la obligación de trasponer la Directiva y en el hecho de que los avances

6 El denominado "Grupo del Art.29" nace con el objetivo de hacer desaparecer los obstáculos que impiden la libre circulación de los datos personales dentro de la Unión Europea, ya que esto es necesario para el establecimiento y funcionamiento del mercado interior. La Directiva de Protección de Datos 95/46/CE se aprueba con este último fin, y tiene como objetivos, por un lado, asegurar la protección en la Comunidad de los derechos de los particulares en relación con el tratamiento de sus datos personales y, por otro, armonizar los niveles de protección en los Estados miembros. Dentro de las medidas adoptadas para lograr estos objetivos, en su artículo 29, dispone la creación de un Grupo de trabajo, como órgano consultivo independiente, integrado por representantes de las autoridades de protección de datos de la UE y la Comisión Europea. La Agencia Española de Protección de Datos (AEPD) forma parte del mismo desde su inicio, en febrero de 1997. Se reúne con periodicidad bimensual, habiendo aprobado hasta ahora casi un centenar de documentos, en forma de Decisiones, Dictámenes, Documentos de Trabajo, Informes o Recomendaciones sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales. 7 Este organismo fue creado en 2001 de conformidad con el artículo 286 del Tratado de la Comunidad Europea. y tiene por objeto garantizar que instituciones y organismos de la Unión Europea respeten los derechos de las personas a la intimidad y a la protección de sus datos personales.

El SEPD gestiona la recogida, el registro, la organización y el almacenamiento de la información, recuperándola para la consulta, enviándola o colocándola a disposición de otros, así como bloqueando, borrando o destruyendo datos. 8 Información obtenida del Proyecto de Ley de Conservación de datos relativos a las comunicaciones electrónicas, redes electrónicas y redes públicas de comunicaciones.

9

9


tecnológicos pueden ser utilizados por redes de delincuencia organizada, bandas terroristas o delincuentes individuales como medio de comisión de sus delitos, por lo que debe establecerse una serie de medidas en aras de proteger la seguridad pública, siempre con pleno respeto a los derechos individuales de las personas físicas.

El proyecto de ley propone en sus diez artículos la posibilidad de retener los datos de tráfico y localización de determinadas comunicaciones electrónicas.

El Capítulo I, que recoge los tres primeros artículos, regula el objeto de la norma, estableciendo la obligación de conservar determinados datos de las comunicaciones que realicen sus clientes, por parte de los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o que exploten una red de las especificadas en el artículo tres de la ley.

El Capítulo II, incorpora los artículos 4 a 7 de la ley. En ellos se establecen los límites para que los datos recogidos sean cedidos a los agentes de la autoridad facultados, los medios para evitar cualquier uso ilegitimo de los datos conservados, así como los plazos legales de conservación de éstos.

El Capítulo III, establece por su parte el régimen sancionador al que quedan sujetos los obligados, así como las responsabilidades derivadas de los eventuales incumplimientos por parte de los agentes facultados.

Ino

Por último, la norma prevé una modificación de la Ley General de Telecomunicaciones para adaptarla al nuevo orden normativo.

Sujetos intervinientes

El art. 2 del Proyecto de Ley de Conservación de Datos (PLCD) establece que los sujetos obligados a cumplir con las obligaciones impuestas en la ley son los operadores que presten servicios de comunicaciones electrónicas disponibles al público o que exploten redes públicas de comunicaciones, en los términos que estipule la Ley 32/2003, General de Telecomunicaciones.

Dentro de este concepto se incluyen:

a. Operadores de Telecomunicaciones.

Operadores de telecomunicaciones y prestadores de servicios de la Sociedad de la

formación, están bligados a retener los

datos.

10

10


b. Prestadores de Servicios de Internet (ISP´s)

Los otros sujetos intervinientes son, por un lado los usuarios de los servicios, las autoridades nacionales y, por otro lado, los denominados por el proyecto de ley como “agentes facultados”9.

Datos objeto de retención

Respecto a los datos objeto de retención, el artículo 310 del Proyecto de Ley de Conservación de Datos (PLCD), obliga a los sujetos indicados en el artículo dos a

9 Es decir, las Fuerzas y Cuerpos de Seguridad del Estado cuando desempeñen funciones de policía judicial entendida en los términos del art. 547 de la Ley Orgánica 6/1985 del Poder Judicial, el personal del Centro Nacional de Inteligencia (CNI) en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002 de 6 de mayo reguladora del Centro Nacional de Inteligencia y con la Ley orgánica 2/2002 de 6 de Mayo reguladora del control judicial previo del Centro Nacional de Inteligencia, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del articulo 283 de la Ley de Enjuiciamiento Criminal. 101. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta ley, son los siguientes: a) Datos necesarios para rastrear e identificar el origen de una comunicación: 1.º Con respecto a la telefonía de red fija y a la telefonía móvil: i) Número de teléfono de llamada. ii) Nombre y dirección del abonado o usuario registrado. 2.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet: i) La identificación de usuario asignada. ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía. iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono. b) Datos necesarios para identificar el destino de una comunicación: 1.º Con respecto a la telefonía de red fija y a la telefonía móvil: i) El número o números marcados (el número o números de teléfono de destino), y en aquellos casos en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas. ii) Los nombres y las direcciones de los abonados o usuarios registrados. 2.º Con respecto al correo electrónico por Internet y la telefonía por Internet i) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet. ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación. c) Datos necesarios para determinar la fecha, hora y duración de una comunicación: 1.º Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación. 2.º Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet: i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, así como la identificación de usuario o del abonado o del usuario registrado. ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario. d) Datos necesarios para identificar el tipo de comunicación. 1.º Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado. 2.º Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado. e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación: 1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino. 2.° Con respecto a la telefonía móvil: i) Los números de teléfono de origen y destino. ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada. iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada. iv) La IMSI de la parte que recibe la llamada.

11

11


almacenar una serie de datos, sobre las comunicaciones, bien sean a través de la red de telefonía fija, móvil, servicios de acceso a Internet o servicios de correo electrónico o de telefonía IP. Concretamente, los datos a retener serían:

a. Datos necesarios para rastrear e identificar el origen de una comunicación.

b. Datos necesarios para identificar el destino de una comunicación.

c. Datos necesarios para determinar la fecha, hora y duración de una comunicación.

d. Datos necesarios para identificar el tipo de comunicación.

e. Datos necesarios para identificar el equipo de comunicación de los usuarios.

f. Datos necesarios para identificar la localización del equipo de comunicación móvil.

g. Datos relativos a llamadas infructuosas.

Para cada una de las categorías antes mencionadas, el propio proyecto de ley establece cuales serán los datos que hay que retener. En ningún caso podrá almacenarse o recogerse cualquier dato que permita conocer el contenido de una comunicación, ya que en ese caso se vulneraría plenamente el derecho a la intimidad de las personas11.

Tratamiento de datos y persecución de delitos

El Proyecto de Ley de Retención de Datos nace como respuesta a “…la preocupación generalizada de los poderes públicos de velar por la seguridad de los ciudadanos, pues resulta evidente que el crecimiento de las posibilidades de las

v) La IMEI de la parte que recibe la llamada. vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio. 3.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet: i) El número de teléfono de origen en caso de acceso mediante marcado de números. ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación. f) Datos necesarios para identificar la localización del equipo de comunicación móvil: 1.º La etiqueta de localización (identificador de celda) al inicio de la comunicación. 2.º Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones. 2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta ley. 11 Salvo en caso de contar con previa habilitación judicial.

12

12


comunicaciones electrónicas constituye una herramienta valiosa en la prevención, investigación, detección y enjuiciamiento de delitos, en especial, contra la delincuencia organizada12.”

El Proyecto de Ley, utiliza sin embargo un rango de aplicación más amplio que el previsto por la propia Directiva 24/2006, que se refiere de forma expresa a que los datos solo podrán ser cedidos para la investigación y persecución de delitos graves.

El legislador español ha optado por habilitar la posibilidad de ceder los datos retenidos para investigar y perseguir cualquier clase de delito, justificando este hecho en que la decisión se adopta cumpliendo en todo caso con la configuración constitucional del derecho al secreto de las comunicaciones y en que es imposible conocer a priori si un delito es grave o no.

Los datos objeto de retención podrán ser cedidos a los “agentes facultados” regulados en el artículo 6 del proyecto de ley, siempre que se cumplan los requisitos estipulados en el artículo 7 de la norma.

En caso de que sea necesario ceder los datos a las autoridades será indispensable contar con la pertinente resolución judicial, que valorará y definirá, de forma fundamentada de acuerdo a los principios de necesidad y proporcionalidad, qué datos tienen que ser cedidos para cumplir la sentencia judicial.

Medidas futuras

El artículo 12 de la Directiva 24/2006/CE es quizás el artículo que ha supuesto más controversias y debates a nivel comunitario.

En este sentido, prevé la posibilidad de que cualquiera de los estados miembros, y siempre que las circunstancias especiales lo justifiquen, tendrá la potestad de ampliar el plazo de conservación genérico, que nunca podrá ser menor a seis meses ni mayor a dos años, según lo dispuesto en el art. 6 de la Directiva.

El Estado que tome la decisión de ampliar el plazo, deberá comunicarlo debidamente a la Comisión y a los demás estados miembros, de manera que la Comisión aprobará o no la medida propuesta por el Estado en el plazo máximo de 6 meses, entendiéndose aprobada en caso de que no haga ninguna comunicación (se aplica la figura del silencio administrativo positivo).

12 Extracto de la memoria Justificativa del Ministerio de Justicia sobre la Necesidad y Oportunidad del Anteproyecto de Ley de Conservación de Datos relativos a las comunicaciones electrónicas y a las redes electrónicas y redes públicas de comunicaciones.

13

13


Dado que se entienden como aceptadas las medidas en el caso de silencio de la Comisión, existen dudas de naturaleza interpretativa sobre el momento en que las decisiones tomadas por un estado resultan de aplicación. La duda se plantea en torno a dos momentos: el momento en el cual el Estado decide tomar estas medidas y se lo ha comunicado a la Comisión, o en el momento en el que la Comisión comunica su posición al respecto, aprobando o no la decisión del Estado

Los problemas derivados del contenido de este artículo se extienden a distintos aspectos:

Cuando se refiere a “circunstancias especiales”, no especifica la naturaleza, características o ejemplos, con lo que resulta un término demasiado ambiguo que deja una capacidad de actuación demasiado amplia a los estados miembros.

No determina claramente en qué momento el Estado dispone de la potestad para aplicar las medidas que ha estimado oportunas. Aunque parece ser necesaria la aprobación por la Comisión de las medidas previstas por el estado miembro, esto es discutible, ya que, dada la redacción del art. 12.1 se puede llegar a entender que el estado miembro está habilitado para su aplicación desde el primer momento. Así, “…Todo Estado miembro que deba hacer frente a circunstancias especiales que justifiquen una ampliación limitada del período máximo de conservación recogido en el artículo 6, podrá adoptar las medidas que se impongan…”

Las comunicaciones comerciales no deseadas • La normativa española en materia de telecomunicaciones y, para ser más

exactos, la Ley 32/2003, General de Telecomunicaciones modifica en su Disposición Final la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) en sus arts. 21, 22, 38.3.b, 38.4.d y 43.1.

Del mismo modo, el artículo 38 de la Ley 32/2003, General de Telecomunicaciones que establece los derechos de los consumidores y los usuarios finales, modifica los derechos y los principios de calidad, consentimiento e información previstos en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), de manera que otorga un sentido mucho más uniforme y lógico a la normativa en materia de protección de datos y conservación de los mismos.

• Básicamente la norma que regula en España las comunicaciones comerciales no deseadas (spam) es la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) y la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos en lo que se refiere a comunicaciones

14

14


comerciales en formato analógico. Las disposiciones contenidas en dicha normativa, fueron modificadas por lo dispuesto en la Ley 32/2003, General de Telecomunicaciones en los términos dispuestos en el apartado anterior.

El envío de cualquier comunicación de carácter promocional o publicitario a través de medios electrónicos, sea o no correo electrónico, está taxativamente prohibido por el art. 21 de la LSSI, siempre que:

d. No hayan sido autorizadas expresamente por sus receptores.

e. No exista entre las partes una relación contractual previa y la comunicación comercial no verse sobre los productos o servicios previamente contratados.

En este sentido se dirigen las modificaciones dispuestas por la Ley 32/2003 General de Telecomunicaciones que modifican varios artículos de la Ley 34/2002, estableciéndose que todo envío con fines comerciales o publicitarios requiere del consentimiento de su receptor, salvo que exista una relación contractual previa y el sujeto no manifieste su voluntad en contra de recibir las comunicaciones.

En este sentido cabe matizar la reciente decisión de la Audiencia Nacional de revocar la primera sanción que impuso la Agencia Española de Protección de Datos (AEPD) por este motivo. En este caso, la AEPD dictó resolución condenatoria a un empresario que envió trece correos electrónicos a personas de las que había obtenido su dirección de correo electrónico mediante las tarjetas de visita que ellos mismos le entregaron en el transcurso de la feria tecnológica SIMO13.

Análisis del caso concreto

Como se ha citado anteriormente, la primera sanción impuesta por la Agencia Española de Protección de Datos por comunicaciones comerciales no deseadas fue en el año 200514, y ha sido revocada por la Audiencia Nacional a través de una sentencia de 17 de junio de 2007.

La sanción fue impuesta por vulneración de lo dispuesto en el art. 21 de la LSSI, es decir, por entender que los mensajes de correo electrónico remitidos por el empresario constituían comunicaciones comerciales masivas no deseadas y no

13 La sentencia completa puede descargarse en http://xribas.typepad.com/xavier_ribas/2007/05/sentencia-tarje.html 14 La resolución puede descargarse desde la siguiente URL: https://www.agpd.es/upload%2FCanal_Documentacion%2FResoluciones%2FPS%2F2005%2FPS-00137-2004%20Resoluci%F3n%20de%20fecha%2022-03-2005%20%28Art%EDculo%2021%20LSSI%29%20Recurrida.pdf

http://xribas.typepad.com/xavier_ribas/2007/05/sentencia-tarje.html

https://www.agpd.es/upload%2FCanal_Documentacion%2FResoluciones%2FPS%2F2005%2FPS-00137-2004%20Resoluci%F3n%20de%20fecha%2022-03-2005%20%28Art%EDculo%2021%20LSSI%29%20Recurrida.pdf

https://www.agpd.es/upload%2FCanal_Documentacion%2FResoluciones%2FPS%2F2005%2FPS-00137-2004%20Resoluci%F3n%20de%20fecha%2022-03-2005%20%28Art%EDculo%2021%20LSSI%29%20Recurrida.pdf

15

15


amparadas en una relación contractual previa. En ningún momento el denunciado negó que los correos enviados, en efecto, tuvieran una finalidad comercial o publicitaria, aunque negó que no existiera consentimiento previo por parte del receptor.

En este caso, teniendo en cuenta en qué contexto fueron entregadas las tarjetas (una feria tecnológica, en la que la entrega de tarjetas es constante y muy usual entre los asistentes), y el hecho de que los correos electrónicos fueron remitidos por parte de una empresa a la que los receptores había proporcionado sus tarjetas personales, la Audiencia Nacional ha entendido que:

a. La entrega de una tarjeta de visita en ferias, congresos, conferencias, o contextos que tengan un objetivo eminentemente comercial, equivale al consentimiento expreso.

b. El consentimiento que se exige por la ley es consentimiento expreso, no escrito.

c. Basta como prueba de la prestación del consentimiento con disponer de una tarjeta de visita del destinatario.

d. El consentimiento habilita para el envío de la información comercial relativa a los productos y servicios de la empresa o para la información comercial por la que expresamente se hubiera interesado el receptor.

Sobre la supuesta falta de consentimiento exigido por el art. 21.1 de la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, la sentencia establece que, pese a que el consentimiento exigido por el art.3.h de la Ley 15/1999 de Protección de Datos de Carácter Personal lo define como una manifestación de voluntad libre, inequívoca, específica e informada a través de la que la persona consiente el tratamiento de sus datos (en este caso para el envío de comunicaciones comerciales), la entrega de las tarjetas de visita en un ámbito comercial, como la Feria Internacional de Informática, Multimedia y Comunicaciones, (SIMO), implica el consentimiento de estos sujetos para la recepción de comunicaciones comerciales.

tarje

co

En palabras de la Audiencia Nacional, y tal y como se hace referencia en el Fundamento de Derecho Quinto: “…es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de

La entrega de una ta de contacto en

un contexto mercial implica el

consentimiento expreso para remitir comunicaciones comerciales.

16

16


correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un correo electrónico aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto y atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria…”.

Igualmente, el demandado entendía que el envío de 13 correos electrónicos no podía ser considerado un envío masivo en los terminos dispuesto en el art. 21 LSSI, ya que este concepto estaba reservado para comunicaciones comerciales mucho más numerosas e indiscriminadas que las realizadas.

El juez, ante la falta de definición que el anexo de la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico hace del concepto masivo, se remite al diccionario de la Real Academia de la Lengua en los siguientes términos ”…Según el Diccionario de la Real Academia Española, se define el adjetivo masivo de la siguiente forma: "dícese de lo que se aplica en gran cantidad", por lo que el juez no entiende que éste se produzca en este caso.

Privacidad de las comunicaciones. Casos prácticos A continuación se mencionan algunos casos prácticos que ponen de relieve los procedimientos y condicionantes que hacen vulnerable el secreto en las comunicaciones de los ciudadanos conforme a la legislación vigente.

Escuchas Telefónicas

La realización de escuchas telefónicas supone quebrantar el derecho al secreto de las comunicaciones establecido por el art. 18.3 de la Constitución Española, pudiéndose considerar como una de las injerencias más graves que pueden realizarse en la vida privada de los ciudadanos. Se debe recordar que nos encontramos ante un verdadero derecho fundamental, que tal y como reconoce la

17

17


abundante jurisprudencia constitucional existente, solamente cede ante una resolución judicial debidamente motivada que la autorice15.

Las características y principios inspiradores que otorgan validez jurídica a la intervención en las comunicaciones telefónicas quedan regulados a través de la jurisprudencia16. Según el art. 579.2 de la LECrim, exclusivamente un juez será el que pueda, mediante resolución motivada, acordar la intervención de las comunicaciones con la única finalidad de investigar y probar la comisión de actos criminales, fundándose siempre en los indicios que existan sobre la comisión de dichos actos y no exclusivamente en meras sospechas.

“…Asimismo, el Juez podrá acordar, en resolución motivada, la intervención de las comunicaciones telefónicas del procesado, si hubiere indicios de obtener por estos medios el descubrimiento o la comprobación de algún hecho o circunstancia importante de la causa17…”

La intervención de las comunicaciones de cualquier ciudadano debe ser entendida como una medida marginal y excepcional, que se utilizará exclusivamente cuando no exista un medio de investigación menos intrusivo para alcanzar el mismo fin. La intervención de las comunicaciones deberá estar motivada de tal forma que se garantice la proporcionalidad de las medidas tomadas entre el quebranto de la intimidad que supone la intervención y la finalidad de la medida18.

La resolución motivada exigida por el art.579.2 de la LECrim deberá adoptar la forma de auto motivado19 20 y debe tener un contenido determinado para que la intervención pueda entenderse como ajustada a derecho, tal y como exige el art.248.2 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.

El auto debe especificar claramente cuáles son los presuntos delitos que intentan probarse, no pudiéndose en ningún caso utilizar la intervención telefónica como medio de búsqueda indiscriminada de hechos delictivos, que además tendrán que

15 Ver STS de 9 de diciembre 1996, STS de 4 de marzo 1997 o STS de 11 de mayo 1998, entre otras fuentes. 16 Ver STS de 18 de junio de 1992, STS de 25 de junio de 1993, STS de 20 de mayo de 1994, STS de 12 de septiembre 1994, STS de 20 diciembre de 1996, STS de 2 diciembre de 1997, STS de 4 de julio de 2003, STS de 19 de abril de 2004 y STS de 29 de abril de 2004. 17 Ver Art.579.2 de la Ley de Enjuiciamiento Criminal. 18 Ver STC 7/1994 de 17 de enero, STS de 26 de febrero de 2000. entre otras. 19 Por auto motivado se debe entender la resolución cuya argumentación jurídica y fáctica es suficiente para justificar, en este caso, la intervención de las comunicaciones. 20 Ver STC 181/1995.

18

18


ser de una determinada entidad, es decir, ha de verificarse la necesidad de probar la presunta comisión de delitos graves21.

De igual forma, se han de fijar los medios técnicos a utilizar para realizar la intercepción, así como las medidas oportunas para garantizar que éstas se producen de forma continua y sobre todas las conversaciones durante el período fijado y sobre los terminales y personas especificados, sin poder eludir, modificar o alterar de forma alguna las conversaciones intervenidas, a fin de garantizarse la imposibilidad de alterar el material probatorio resultante e impedir que éste pueda ser declarado nulo como material probatorio ante un juicio22.

Es importante resaltar que el control judicial no solo afecta al nacimiento y motivación de la intervención telefónica, sino que acompaña a todo el proceso de intervención desde su nacimiento hasta su finalización23, lo cual tiene una repercusión fundamental en lo que se refiere a la protección de los derechos de los ciudadanos afectados por la intervención telefónica24.

También resulta esencial fijar los agentes encargados de intervenir las comunicaciones, así como los números y las personas que son objeto de investigación.

A este respecto, debe aclararse que cuando se habla de intervención de las comunicaciones telefónicas se debe incluir en estas todos los tipos de telefonía, sea cual sea la tecnología que utilice25.

Los terminales intervenidos no solo serán los correspondientes a los sujetos antes designados, sino cualquier otro que sea utilizado para la comisión de los presuntos delitos, considerando la jurisprudencia de un modo amplio los terminales susceptibles de intervención, incluyéndose los terminales situados en espacios públicos o en locales abiertos al público26.

Por tanto deberán incluirse tanto los terminales fijos, como los móviles de las personas intervinientes, independientemente de su tecnología, quedando incluidos en este espectro tanto el propio procesado como los inculpados, y por mediación

21 Sentencia de la Audiencia Nacional de 31 de marzo de 2006.

22 Ver Auto de 18 de Junio de 1992. 23 Ver STC 49/1996, STC 121/1998, STC 171/1999. 24 Ver STS 26 de febrero de 2000. 25 Según el Art.197.1 del Código Penal de 1995, “…o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses…” 26 Ver la STS de 606/1994, de 18 de marzo, STS 787/1994, de 18 de abril, STS 467/1998, de 3 de abril, entre otras.

19

19


del art. 579.3 de la LECrim, serán igualmente afectadas las personas “sobre las que existan indicios de responsabilidad criminal”.

Por ultimo deberán fijarse los plazos durante los cuales los agentes encargados de la intervención deberán informar de sus pesquisas y de la duración de la medida al juez.

El auto debe establecer un periodo cerrado durante el que se producirá la intervención de las comunicaciones, si bien la LECrim en su art. 579.3 estipula la posibilidad de establecer plazos trimestrales cerrados, pudiéndose prorrogar por plazos iguales, tal y como ha reiterado la jurisprudencia27 exclusivamente por el tiempo necesario para llevar a buen fin el proceso de investigación, siendo definitiva la nueva motivación mediante resolución, sin ser posible remitirse a las causas que motivaron la intervención inicial28.

Privacidad en los sistemas de correo web (Webmail).

Los últimos años han visto proliferar los servicios de correo web que permiten a los usuarios almacenar su correo electrónico en servidores remotos, con capacidades que crecen continuamente. Pero, recientemente este servicio ofrecido por una amplia cantidad de empresas, ha sido objeto de diversas polémicas en lo que concierne a la calidad de su sistema de privacidad y protección de la intimidad de sus clientes.

En este sentido, han aparecido algunas noticias en diferentes medios de comunicación que han puesto en tela de juicio estos sistemas.

• De un lado, las dudas vienen referidas al tratamiento de la privacidad. Parece ser que algunos de estos servicios utilizan sistemas automatizados que rastrean el contenido de todos los correos electrónicos enviados a través del servicio, con la finalidad de insertar comunicaciones comerciales relacionadas con el mismo.

• De otro lado, estos sistemas pueden verse afectados, en el caso en que la empresa almacene en sus servidores los correos electrónicos de los usuarios aunque estos los eliminen, es decir podría vulnerarse la intimidad de los clientes si la empresa no elimina los correos electrónicos de los usuarios a pesar de que éste cancele su cuenta, sino que la mantiene durante un tiempo determinado, presuntamente sin cumplir con los requisitos exigidos por la normativa de protección de datos de carácter personal.

27 Ver STS 956/1994, de 9 de mayo, STS 467/1998, de 3 de abril, STS 622/1998, de 11 de mayo. 28 STC 181/1995 STC 49/99, STC 171/99, STS 121/1998, de 7 de febrero.

20

20


En junio de 2007 un Informe de la Organización Privacy International29, que estudiaba estos aspectos sobre veintitrés de las más importantes empresas del sector30alertó a la comunidad de usuarios sobre las deficiencias por parte de la practica totalidad de las mismas en el tratamiento de la intimidad y de los datos de carácter personal de los usuarios de los sistemas.

El correo electrónico, por su naturaleza jurídicamente idéntica a la del correo ordinario, se ve afecto a la protección otorgada por el art. 18.1, 18.3 y 18.4 de la Constitución, que garantiza el derecho a la intimidad personal y familiar, el secreto de las comunicaciones, así como la posible limitación al uso de los medios informáticos para garantizar la intimidad de los ciudadanos.

Se debe tener en cuenta que actualmente la mayoría de los servidores de estos sistemas de correo web, se encuentran alojados en los Estados Unidos, país que cuenta con una normativa en materia del tratamiento de la intimidad muy diferente a la establecida por los Estados de la Unión Europea, que concede a la intimidad de los ciudadanos una protección muy superior a la otorgada en los Estados Unidos.

La política de privacidad de estos sistemas usualmente informa del tratamiento que se va a realizar de los datos de los usuarios solo en ciertos aspectos, ejemplo de ello puede ser:

“…almacena, procesa y mantiene sus mensajes, listas de contactos y otros datos relativos a su cuenta para poder ofrecerle el servicio…”

“…Cuando utiliza nuestro servicio, nuestros servidores graban de manera automática cierta información sobre su uso del servicio. De manera similar a otros servicios de la web, el sistema graba información como la actividad de la cuenta (incluyendo uso de almacenamiento, número de accesos), datos visualizados o sobre los que se ha hecho clic (incluyendo elementos de la interfaz de usuario, anuncios, enlaces); y otro tipo de información de acceso (incluyendo tipo de navegador, dirección IP, fecha y hora de acceso, ID de la cookie y URL de origen)…”

“…El sistema mantiene y procesa su cuenta y sus contenidos para poder facilitarle el servicio y mejorar nuestros servicios. El servicio incluye publicidad relevante y enlaces relacionados basados en la dirección IP, contenido de los mensajes y otro tipo de información relacionada con el uso que usted haga del servicio…”

29 www.privacyinternational.org 30 http://www.privacyinternational.org/article.shtml?cmd[347]=x-347-553961

http://www.privacyinternational.org/

http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-553961

21

21


“…Nuestros equipos procesan la información de sus mensajes con varios propósitos, incluyendo para que usted pueda formatear y visualizar la información, distribuir anuncios y enlaces relacionados, prevenir correos electrónicos no deseados (spam), guardar una copia de seguridad de los mensajes, y otros propósitos relacionados con el servicio …”

Desde el punto de vista de la normativa española en materia de protección de datos cabe señalar que si bien el servicio, en su política de privacidad comunica al usuario ciertos aspectos referidos al tratamiento de sus correos, en ningún momento se explica la finalidad concreta con la que éstos son recopilados o tratados ni tampoco ante quién puede el afectado ejercitar sus derechos.

En virtud de lo dispuesto en el art. 5.1 de la Ley 15/1999 de Protección de Datos, todo usuario puede oponerse al tratamiento de sus datos de carácter personal, siendo absolutamente indiferente que este tratamiento lo realice una máquina automática o una persona.

Desde el punto de vista del respeto a la intimidad y al secreto de las comunicaciones la propia naturaleza del correo electrónico le otorga la protección constitucional del secreto de las comunicaciones, por lo que su contenido es inviolable y no puede ser abierto sin que medie intervención judicial o autorización expresa por parte del afectado.

Desde el ámbito comunitario, se ha establecido de forma clara que la intimidad se considera vulnerada ante la falta de seguridad de las comunicaciones, por lo que resulta de vital importancia garantizar la privacidad del correo electrónico.

En el caso de los correos electrónicos, la intimidad es un bien a proteger en cualquier caso, pudiéndose entender en peligro esta seguridad ante la existencia de un sistema que aunque automatizado, analiza sistemáticamente el contenido de todos los correos electrónicos31.

La protección otorgada por el art. 18.3 de la Constitución Española, ampara tanto el contenido del mensaje como cualquier otro aspecto relacionado que permita conocer cualquier información que afecte a la intimidad del sujeto.

31 Mas información en la Recomendación 3/97 sobre Anonimato en Internet adoptada por el Grupo de trabajo sobre protección de datos del artículo 29 el 3 de diciembre de 1997. Este grupo de trabajo es el organismo comunitario independiente de asesoramiento en materia de protección de datos y de la intimidad, quedando sus tareas fijadas por el art.30 de la Directiva 95/46/CE así como en la Directiva 97/66/CE.

22

22


Por su parte, el Código Penal español de 1995 tipifica como delito mediante el art. 197.3 la revelación de datos captados a través del correo electrónico. El simple acceso es considerado como suficiente para entrar dentro del supuesto tipificado, tal y como ocurre en el caso de los accesos no autorizados a equipos o redes, por parte de piratas informáticos, donde resulta indiferente los motivos del acceso así como lo que se haga o no se haga con la información o datos obtenidos con la intromisión.

De esta forma resulta indiferente, desde el punto de vista de la calificación penal, que sea una persona o una máquina la que se dedique a entrar y analizar el contenido de todos los mensajes de correo electrónico enviados a través del sistema de correo, ya que en todo caso siempre hay, detrás de la máquina, una persona que está encargada de manejar dicho dispositivo o programa.

Control del correo electrónico en el ámbito laboral En la actualidad es común en muchos puestos de trabajo tener la posibilidad de acceder a determinados medios electrónicos entre los que cabe destacar el correo electrónico.

El empleador tiene la posibilidad de controlar el uso que se hace del correo electrónico por parte de los trabajadores conforme a lo dispuesto en el art. 20 del Estatuto de los Trabajadores, que faculta al empresario para adoptar las medidas de vigilancia para verificar el cumplimiento de las obligaciones y deberes laborales de los trabajadores.

El uso inadecuado y excesivo por parte del empleado del correo electrónico de la empresa o del uso de correo electrónico personal en horario laboral, puede ser considerado un incumplimiento contractual grave y culposo, pudiéndose considerar causa de despido. Así, una trasgresión de la buena fe contractual por no respetar la confidencialidad de la información de la empresa; el uso del correo electrónico de la empresa con fines personales o incluso situaciones más graves, como la utilización del correo electrónico para enviar ofensas o acosar sexualmente a compañeros de trabajo, habilita al empleador para alejar al trabajador de la empresa.

El trabajador se encuentra protegido, como no podía ser de otra forma por el derecho al secreto de sus comunicaciones de acuerdo con lo estipulado en el art.18 de la CE. Según el contenido esencial del secreto de las comunicaciones –que debe ser respetado por el control tecnológico del empresario- protege contra la interceptación o el conocimiento antijurídico de las comunicaciones ajenas. Cuenta además con la garantía de que sólo mediante resolución judicial puede levantarse el secreto y con el resguardo punitivo que brinda el artículo 197 del Código Penal, que sanciona al que para descubrir los secretos o vulnerar la intimidad de otro sin su consentimiento, se apoderase de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, o interceptase sus telecomunicaciones o utilizase artificios técnicos de escucha, transmisión, grabación o reproducción del

23

23


sonido o de la imagen, o de cualquier otra señal de comunicación, castigándolo con penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Por lo tanto, para controlar el uso del correo electrónico, por ejemplo, el empresario debe demostrar que interfiere en el trabajo ya que, al equipararse al resto de las comunicaciones, es inviolable y su control puede constituir un delito contra la intimidad, si no cuenta con el consentimiento inequívoco del trabajador.

En el caso de necesitarse el acceso al correo electrónico del empleado y a falta de legislación específica, se procede a actuar de manera análoga al procedimiento usado en la investigación de las taquillas de los trabajadores, requiriéndose la presencia de un representante sindical de la empresa. Es usual que en el caso de empresas de entidad se proceda a contar con la presencia de un notario que levante acta de todo el procedimiento así como del resultado de las pesquisas, a fin de justificar en su caso el despido del trabajador.

El propio Estatuto de los Trabajadores, en su artículo 18, se refiere a la inviolabilidad de la persona, al preceptuar que sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible. Es decir, los registros están autorizados bajo ciertas condiciones, garantizando transparencia e información al trabajador afectado. Es común en la práctica de estas actuaciones la presencia de un notario que levante acta de cómo se han llevado a cabo así como de las pesquisas obtenidas de estas investigaciones.

Ahora bien, el Tribunal Constitucional ha establecido que frente a medidas limitadoras como las que puede adoptar el empresario en el caso que nos ocupa, los límites de los derechos deben ser interpretados restrictivamente, por eso, dichas limitaciones, además de estar previstas en la ley, deben ser siempre razonables y proporcionadas en relación con el bien o derecho que limitan, justificadas y destinadas a cumplir realmente el fin para las que fueron establecidas.

La razón y proporcionalidad de las medidas no puede establecerse en abstracto. Para comprobar si una medida restrictiva supera el principio de proporcionalidad, es necesario constatar si es susceptible de conseguir el objetivo propuesto (principio de idoneidad); si, además, es necesaria, en el sentido de que exista otra medida más adecuada para la consecución de tal propósito con igual eficacia (principio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (principio de proporcionalidad en sentido estricto).

24

24


La justificación de la medida limitadora debe ser exteriorizada adecuadamente con objeto de que los destinatarios conozcan las razones por las cuales su derecho se sacrificó y los intereses a los que se entregó. Por último, la medida limitadora debe servir para hacer efectivo un fin legítimo real, no para encubrir objetivos espurios.

Conclusiones A continuación se recoge a modo de resumen una serie de conclusiones expuestas a lo largo de esta guía:

a. El secreto y privacidad de las comunicaciones se encuentran expresamente considerados por el art. 18.3 de la Constitución Española un derecho fundamental.

b. La intervención de las comunicaciones requiere de una previa habilitación legal que permita la intervención, así como de la necesidad y oportunidad suficientemente justificable y de un auto judicial debidamente motivado.

c. La retención de datos por parte de los operadores de telecomunicaciones y prestadores de servicios de la Sociedad de la Información tienen como única finalidad poder luchar de forma más efectiva contra los delitos graves, delincuencia organizada, y terrorismo.

d. En ningún caso la retención de datos por parte de los sujetos obligados podrá ser relativa al contenido de las comunicaciones, sino únicamente respecto a los datos de tráfico y/o origen y destino.

e. Aún no se ha establecido un plazo concreto para poder retener los datos. Únicamente se ha establecido un plazo mínimo de 6 meses y un máximo de 24 meses (2 años), pudiendo ser los estados los que establecen otros plazos dentro de los límites.

f. La entrega de una tarjeta de visita, al menos en el ámbito de una convención profesional -tal y como indica la jurisprudencia- se considera como la prestación del consentimiento expreso requerido por la normativa para poder remitir comunicaciones comerciales. La jurisprudencia ha comprendido que la entrega de estas tarjetas de visita entre empresas en el ámbito de una convención o feria de promoción del sector es prueba de una relación comercial presente o futura.

g. Aunque en este sentido concreto aún no ha habido pronunciamiento por parte de ningún tribunal, el acceso no autorizado a los correos electrónicos, (aunque sea de forma completamente automatizada y nunca al contenido

25

25


completo del mensaje), debería ser considerado un acceso ilegítimo y por tanto una vulneración de la intimidad.

Palabras Clave Como complemento a esta guía y para encontrar información y enlaces de interés usted puede acudir al Directorio del Área Jurídica de la Seguridad y las TIC en www.inteco.es/observatorio/directorio/

Este servicio ofrece enlaces categorizados por palabras clave o “tags”. Se recomiendan, entre otras, las siguientes palabras clave: privacidad; lopd; protección; datos; personales; telecomunicaciones; retención.

http://www.inteco.es/observatorio/directorio/

http://www.inteco.es/observatorio/directorio/

INTECO_01 Privacidad y secreto en las telecomunicaciones

Education

Transcript of INTECO_01 Privacidad y secreto en las telecomunicaciones