Conservación de datos electrónicos: Directiva comunitaria

martes, noviembre 06, 2007

Desde hace varios días vengo observando que todas las culpas se las llevan los partidos nacionales sobre la nueva Ley de Conservación de Datos de la Comunicaciones Electrónicas que se ha aprobado en el Congreso justo antes del Puente.

Es curioso que NADIE ha hecho referencia a por qué se aprueba esta Ley, cuando desde mi punto de vista esto es lo que habia que haber hecho desde el principio. Sin ánimo de defender a ningún partido político español (el PSOE me parece patético, por no utilizar otro lenguaje impropio de mí, y el PP se puede ir olvidando del voto en las próximas elecciones y de este blog en cualquier agregador que tenga que ver con él, aunque dudo mucho que esto les cause mucha presión; a los demás ni los menciono), creo que hay que poner a las cosas en sus justos términos.

La Ley en cuestión es una trasposición de la correspondiente Directiva comunitaria llamada (porque para qué va a tener un nombre corto):  DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. Hay más directivas relacionadas que podeis encontrar aquí.

Copio y comento algunos artículos porque me parece que son de interés:

Artículo 1
Objeto y ámbito
1.La presente Directiva se propone armonizar las disposiciones de los Estados miembros relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro.
2. La presente Directiva se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o al usuario registrado. No se aplicará al contenido de las comunicaciones electrónicas, lo que incluye la información consultada utilizando una red de comunicaciones electrónicas.

En primer lugar y como ya he dicho en un comentario, la Directiva no tiene fuerza vinculante excepto para los Estados mientras dura el período de transposición. PERO una vez que termina dicho plazo cualquier persona interesada en que se aplique puede demandar al Estado por daños y perjuicios. Así que estoy segura de que, si  no se transpusiera alguien siempre iba a encontrar la manera de exigir esos daños y perjuicios.

Pero la parte subrayada en negita y rojo es precisamente el núcleo de la cuestión. Es un resumen de la directiva y de la Ley. Con ese contenido, ¿qué contenido pensabais que iba a tener la Ley?

Artículo 2
Definiciones
1. A efectos de la presente Directiva, se aplicarán las definiciones de la Directiva 95/46/CE, de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (2), y de la Directiva 2002/58/CE.


2. A efectos de la presente Directiva, se entenderá por:
a) «datos»: los datos de tráfico y de localización y los datos relacionados necesarios para identificar al abonado o

b) «usuario»: toda persona física o jurídica que utilice un servicio de comunicaciones electrónicas de acceso público, con fines privados o comerciales, sin haberse necesariamente abonado a dicho servicio;
c) «servicio telefónico»: las llamadas (incluida la transmisión de voz, buzones vocales, conferencias y datos), los servicios suplementarios (incluido el reenvío o transferencia de llamadas) y los servicios de mensajería y servicios multimedia (incluidos los servicios de mensajes cortos, servicios multimedia avanzados y servicios multimedia);
d) «identificador de usuario»: un identificador único asignado a las personas con motivo de su abono a un servicio de acceso a Internet o a un servicio de comunicaciones por Internet, o de su registro en uno de dichos servicios;
e) «identificador de celda»: la identidad de la celda desde la que se origina o termina una llamada de teléfono móvil;
f) «llamada telefónica infructuosa»: una comunicación en el transcurso de la cual se ha realizado con éxito una llamada telefónica pero sin contestación o en la que ha habido una intervención por parte del gestor de la red.

No creo que haya dudas sobre ninguno de estos conceptos. Que aclaran más lo visto antes.

Artículo 3
Obligación de conservar datos
1. Como excepción a los artículos 5, 6 y 9 de la Directiva 2002/58/CE, los Estados miembros adoptarán medidas para garantizar que los datos especificados en el artículo 5 de la presente Directiva se conservan de conformidad con lo dispuesto en ella en la medida en que son generados o tratados por proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones que estén bajo su jurisdicción en el marco de la prestación de los servicios de comunicaciones de que se trate.
2. La obligación de conservar datos mencionada en el apartado 1 incluirá la conservación de los datos especificados en el artículo 5 en relación con las llamadas telefónicas infructuosas en las que los datos los generan o tratan, y conservan (en lo que a los datos telefónicos se refiere) o registran (en lo que a los datos de Internet se refiere), proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones que estén bajo la jurisdicción del Estado miembro de que se trate en el marco de la prestación de los servicios de comunicaciones en cuestión. La conservación de datos en relación con las llamadas no conectadas no será obligatoria con arreglo a la presente Directiva.

Artículo 4
Acceso a los datos
Los Estados miembros adoptarán medidas para garantizar que los datos conservados de conformidad con la presente Directiva solamente se proporcionen a las autoridades nacionales competentes, en casos específicos y de conformidad con la legislación nacional. Cada Estado miembro definirá en su legislación nacional el procedimiento que deba seguirse y las condiciones que deban cumplirse para tener acceso a los datos conservados de conformidad con los requisitos de necesidad y proporcionalidad, de conformidad con las disposiciones pertinentes del Derecho de la Unión o del Derecho internacional público, y en particular el CEDH en la interpretación del Tribunal Europeo de Derechos Humanos.

Estos artículos ya los copié en su día. Y simplemente determinan cómo interpretar los anteriores.

Después vienen las categorías de datos, que la Ley española puede poco más que copiarlos.

Artículo 6
Períodos de conservación
Los Estados miembros garantizarán que las categorías de datos mencionadas en el artículo 5 se conserven por un período de tiempo que no sea inferior a seis meses ni superior a dos años a partir de la fecha de la comunicación.

Ojo: son los Estados quienes deben garantizar que no se pierden/manipulan los datos, no las empresas de telecomunicaciones o la Unión Europea. Si se diera pérdida o manipulación, según este artículo, son los Estados miembros los que responden frente a la Unión Europea.

Respecto del plazo, ver artículo 12 más abajo.

Se desarrolla esta responsabilidad en el artículo siguiente:

Artículo 7
Protección y seguridad de los datos
Sin perjuicio de lo dispuesto en las disposiciones adoptadas de conformidad con las Directivas 95/46/CE y 2002/58/CE, los Estados miembros velarán por que los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones cumplan, en lo que respecta a los datos conservados de conformidad con la presente Directiva, como mínimo los siguientes principios de seguridad de los datos:
a) los datos conservados serán de la misma calidad y estarán sometidos a las mismas normas de seguridad y protección que los datos existentes en la red;

b) los datos estarán sujetos a las medidas técnicas y organizativas adecuadas para protegerlos de la destrucción accidental o ilícita, pérdida accidental o alteración, así como almacenamiento, tratamiento, acceso o divulgación no autorizados o ilícitos;
c) los datos estarán sujetos a medidas técnicas y organizativas apropiadas para velar por que sólo puedan acceder a ellos las personas especialmente autorizadas,
y d) los datos, excepto los que hayan sido accesibles y se hayan conservado, se destruirán al término del período de conservación.

O sea, que el Estado miembro puede demandar por negligencia al operador que pierda los datos o cuyos datos sean manipulados. La Unión Europea, la principal encargada de este engendro mitológico, se lava las manos.

Y aquí viene lo divertido:

Artículo 8
Requisitos de almacenamiento para los datos conservados Los Estados miembros garantizarán que los datos especificados en el artículo 5 se conservan de conformidad con la presente Directiva de manera que los datos conservados y cualquier otra información necesaria con ellos relacionada puedan transmitirse sin demora cuando las autoridades competentes así lo soliciten.

Léase: en el momento en que se les pida, todos a cuadrarse, dando igual los datos y la persona sobre la cual se pida. Ojo a lo que pueda considerarse como "cualquier otra información necesaria con ellos relacionada". ¿A qué información se refiere? ¿Mi color de pelo? ¿Las enfermedades que tengo? ¿En qué trabajo? ¿Dónde estuve de vacaciones? ¿El contenido de las comunicaciones? Arriba pone que el contenido no se almacenará pero entonces, ¿por qué no se aclara cuál es esa otra inforamación relacionada?

Artículo 9
Autoridades de control
1. Cada Estado miembro nombrará una o más autoridades públicas responsables de controlar la aplicación en su  territorio de las disposiciones adoptadas por los Estados miembros de conformidad con el artículo 7 en relación con la seguridad de los datos conservados. Dichas autoridades podrán ser las mencionadas en el artículo 28 de la Directiva 95/46/CE.
2. Las autoridades mencionadas en el apartado 1 actuarán con plena independencia en el ejercicio del control a que se refiere el apartado 1.

Esto es lo más que pueden hacer los Estados (junto con algo más peligroso, ver artículo 12): nombrar la autoridad de control. Bienvenidos a la soberanía estatal, made in EU.

Como no podía ser menos hay que elaborar estadísticas:

Artículo 10
Estadísticas
1. Los Estados miembros velarán por que se faciliten anualmente a la Comisión las estadísticas sobre la conservación de datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones. Tales estadísticas incluirán:
— los casos en que se haya facilitado información a las  autoridades competentes de conformidad con el Derecho nacional aplicable,
— el tiempo transcurrido entre la fecha en que se conservaron los datos y la fecha en que la autoridad competente solicitó su transmisión,

— los casos en que no pudieron satisfacerse las solicitudes de
datos.
2. Tales estadísticas no contendrán datos personales.

Pero claro, a mí que las estadísticas no contengan datos personales con todo lo que hemos visto antes, me da igual. Preferiría sabe que mis datos han sido facilitados. Si alguien está manejando información que me pertenece, mi derecho es saberlo. Y por qué la está manejando. Nótese que en ningún caso se dice que el usuario tenga que ser advertido de que sus comunicaciones han sido entregadas a la autoridad de control.

Artículo 12
Medidas futuras
1. Todo Estado miembro que deba hacer frente a circunstancias especiales que justifiquen una ampliación limitada del período máximo de conservación recogido en el artículo 6 podrá adoptar las medidas que se impongan. El Estado miembro en cuestión informará inmediatamente a la Comisión y a los demás Estados miembros sobre las medidas adoptadas de conformidad con el presente artículo e indicará las razones que le llevan a adoptarlas.
2. En un plazo de seis meses tras la notificación mencionada en el apartado 1, la Comisión aprobará o rechazará las medidas nacionales en cuestión después de haber examinado si  constituyen una discriminación arbitraria o una restricción encubierta al comercio entre los Estados miembros o constituyen un obstáculo para el funcionamiento del mercado interior. En caso de que la Comisión no adopte ninguna decisión en dicho plazo se considerará que las medidas nacionales han sido aprobadas.
3. Cuando, en virtud del apartado 2, las medidas nacionales adoptadas por un Estado miembro se aparten de las disposiciones de la presente Directiva, la Comisión examinará la oportunidad de proponer la modificación de la presente Directiva.

Muy bien: de modo que no es por el tiempo limitado a que se refiere el artículo 6, si no que en determinadas circunstancias (que la Directiva no especifica, o sea que deberán hacerlo los Estados miembros, ejem, muy peligroso), podrán aumentarse los plazos del artículo 6.

Fijaos que la única causa que anulará las decisiones tomadas por los Estados, NO es que vaya en contra de los derechos de los ciudadanos, si no que vaya en contra de la libertad de circulación de las mercancías.

Artículo 13
Recursos judiciales, responsabilidad y sanciones
1. Cada Estado miembro adoptará las medidas que se impongan para velar por que se apliquen plenamente, en lo que se refiere al tratamiento de datos en el marco de la presente Directiva,  las medidas nacionales de aplicación del capítulo III de la Directiva 95/46/CE relativas al establecimiento de recursos judiciales, responsabilidad y sanciones.
2. Cada Estado miembro adoptará, en particular, las medidas que se impongan para velar por que cualquier acceso intencionado o la transferencia de datos conservados de conformidad con la presente Directiva que no estén permitidos por la legislación nacional adoptada de conformidad con la presente Directiva se castiguen con sanciones, incluidas sanciones administrativas o penales, que sean eficaces, proporcionadas y disuasorias.

Ejem... pero es que los datos que ayuden a identificarme no deberían NUNCA estar en manos de nadie porque eso es un ataque a) contra mi privacidad (si quisiera escribir con mi nombre, apellidos y foto, ya lo habría hecho) y b) contra mi libertad de expresión, porque ahora siempre quedará la duda de si mis datos han sido pedidos o no. POr eso decía arriba que en este caso preferiría que las estadísticas fueran públicas: así al menos, sabríamos si nuestros datos han sido pedidos o no.

Artículo 15
Transposición
1. Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar el 15 de septiembre de 2007. Informarán de ello inmediatamente a la Comisión. Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2. Los Estados miembros comunicarán a la Comisión el texto
de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
3. Cada Estado miembro podrá aplazar hasta el 15 de marzo de 2009 la aplicación de la presente Directiva en lo que se refiere a la conservación de los datos de comunicaciones en relación con el acceso a Internet, la telefonía por Internet y el correo electrónico por Internet. Los Estados miembros que se propongan recurrir al presente apartado lo notificarán al Consejo y a la Comisión, mediante una declaración, en el momento de la adopción de la presente Directiva. Tal declaración se publicará en el Diario Oficial de la Unión Europea.

Aquí es lo que decía al principio. Como veis como ya ha pasado el plazo de transposición y como mucho se puede esperar al 15 de marzo de 2009 para empezar a conservar los datos.

Lo demás no es interesante a estos efectos. Pero si quereis el link (es un pdf que os podeis descargar) lo puesto arriba y está aqui en español.

Directiva 95/46 sobre tratamiento de datos personales y libre circulación de estos (también en español). Por si alguien quiere leérsela.