Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

WP 25 Recomendación 3/99 sobre la conservación de los

Anuncio 
5085/99/ES/FINAL
WP 25
GRUPO DE PROTECCIÓN DE LAS PERSONAS
EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES
Recomendación 3/99
sobre
la conservación de los datos sobre tráfico por los proveedores de servicio Internet
a efectos de cumplimiento de la legislación
Aprobada el 7 de septiembre de 1999
Recomendación 3/99
sobre
la conservación de los datos sobre tráfico por los proveedores de servicio Internet
a efectos de cumplimiento de la legislación
Introducción
La persecución del delito informático se considera cada vez más importante a escala
internacional 1. Los países del G82 han adoptado un plan de acción de diez puntos3
que actualmente están poniendo en práctica con ayuda de un subgrupo especializado
en delitos de alta tecnología compuesto por representantes de las autoridades de
control de los países del G8. Uno de los apartados más destacados y polémicos es la
conservación de los datos sobre tráfico, tanto histórico como futuro, por parte de los
proveedores de servicio Internet a efectos de cumplimiento de las disposiciones
legislativas y su puesta a disposición de las autoridades de control. El subgrupo de
delitos de alta tecnología del G8 propondrá recomendaciones para garantizar la
posibilidad de conservar y proporcionar dichos datos sobre tráfico. Los Ministros de
Justicia e Interior del G8 analizarán estas recomendaciones en la reunión que se
celebrará en Moscú los días 19 y 20 de octubre de 1999.
El Grupo de protección de las personas en lo que respecta al tratamiento de datos
personales4 es consciente de la importante función que pueden ejercer los datos sobre
tráfico en el contexto de la investigación de delitos cometidos a través de Internet,
pero desea recordar a los poderes públicos nacionales los principios de protección de
los derechos fundamentales y las libertades de las personas, y en particular, el derecho
a la intimidad y al secreto de la correspondencia que se deben tener en cuenta en este
aspecto.
1
Véase por ejemplo el "Estudio COMCRIME" "Aspectos jurídicos de los delitos informáticos en la
sociedad de la información - Estudio COMCRIME, enero de 1997, incluido en el Plan de acción
de la UE contra la delincuencia organizada, disponible en el sitio Web del Grupo consultivo
jurídico: http://www2.echo.lu/legal/en/comcrime/sieber.html. El Consejo de Europa está
elaborando un proyecto de convenio sobre el delito informático. El Consejo de la UE expresó su
apoyo a esta tarea el 27 de mayo de 1999. Bajo la denominación de delito informático se incluyen
todos los delitos cometidos a través de redes, tales como ataques informáticos, publicación de
material ilegal en sitios Web y delincuencia organizada transnacional (como narcotráfico o
pornografía infantil).
2
Los países del G8 son: Canadá, Francia, Alemania, Italia, Japón, el Reino Unido, los Estados
Unidos y Rusia.
3
"Reunión de Ministros de Justicia e Interior de los Ocho, 9-10 de diciembre de 1997, Comunicado,
Washington D.C., 10 de diciembre, Anexo al comunicado: Principios y plan de acción para
combatir el delito de alta tecnología"
Creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de
24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31. Se puede
consultar en: http://europa.eu.int/comm/dg15/en/media/dataprot/law/index.htm
4
2
El Grupo comprende que los Ministros de Justicia e Interior del G8 pueden verse
obligados a solicitar una interpretación equilibrada de las dos Directivas comunitarias
relativas a la protección de datos5 en la fase de transposición, interpretación que
tendrá en cuenta el interés por el control de su aplicación junto con el interés por el
respeto a la intimidad.
El Grupo también es consciente de las cargas adicionales que deberían soportar los
operadores de telecomunicaciones y proveedores de servicio.
Por consiguiente, el objetivo de la presente Recomendación es contribuir a una
aplicación uniforme de las Directivas 95/46/CE y 97/66/CE con vistas a definir
condiciones claras y predecibles para los operadores de telecomunicaciones y los
proveedores de servicio Internet, así como para las autoridades de control, que
protejan simultáneamente el derecho a la intimidad.
Situación jurídica
En la Unión Europea, la Directiva 95/46/CE armoniza las condiciones de protección
del derecho a la intimidad consagrado en los sistemas jurídicos de los Estados
miembros. Esta Directiva otorga contenido y amplía los principios incluidos en el
Convenio europeo para la protección de los Derechos Humanos de 4 de noviembre de
1950 y en el Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981 para la
protección de las personas en relación con el tratamiento automático de datos
personales. La Directiva 97/66/CE adapta las disposiciones de dicha Directiva al
sector de telecomunicaciones. Ambas Directivas se aplican al tratamiento de los datos
personales en Internet, incluidos los datos sobre tráfico relacionados con abonados y
usuarios.6
En concreto, los artículos 6, 7, 13 y los apartados 1 y 2 del artículo 17 de la Directiva
95/46/CE y los artículos 4, 5, 6 y 14 de la Directiva 97/66/CE tratan la legitimidad de
dicho tratamiento por los operadores de telecomunicaciones y proveedores de
servicio.
Estas disposiciones permiten a los operadores de telecomunicaciones y a los
proveedores de servicios de telecomunicación tratar los datos sobre el tráfico de
telecomunicaciones en condiciones muy limitadas.
La letra b) del apartado 1 del artículo 6 dispone que estos datos sean recogidos con
fines determinados, explícitos y legítimos, y no sean tratados posteriormente de
manera incompatible con dichos fines. La letra e) del apartado 1 del artículo 6
establece que los datos personales sean conservados durante un periodo no superior al
necesario para los fines para los que fueron recogidos o para los que se traten
ulteriormente. El artículo 13 permite a los Estados miembros limitar el alcance del
apartado 1 del artículo 6, entre otros, cuando tal limitación constituya una medida
Directiva 95/46/CE (véase nota 3) y Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15
de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en
el sector de las telecomunicaciones, DO L 24 de 30.1.1998, p. 1. Se puede consultar en: véase nota 4.
5
6
Véase “Documento de trabajo: Tratamiento de datos personales en Internet”, adoptado el 23 de
febrero de 1999, se puede consultar en: véase nota 1.
3
necesaria para la salvaguardia de la seguridad del Estado, la seguridad pública o la
prevención, investigación, detección y represión de infracciones penales.
La aplicación de estos principios se define con mayor precisión en el artículo 5 y en
los apartados 2 a 5 del artículo 6 de la Directiva 97/66/CE. El artículo 5 garantiza la
confidencialidad de las comunicaciones realizadas a través de las redes públicas de
telecomunicación y de los servicios de telecomunicación accesibles al público. Los
Estados miembros deben prohibir la escucha, grabación, almacenamiento u otros tipos
de interceptación o vigilancia de las comunicaciones por personas distintas de los
usuarios, sin el consentimiento de los usuarios interesados, salvo cuando esté
autorizada legalmente, de conformidad con el apartado 1 del artículo 14.
Como norma general, los datos sobre tráfico deben destruirse o hacerse anónimos en
cuanto termine la comunicación (apartado 1 del artículo 6 de la Directiva 97/66/CE).
Esto se debe a la confidencialidad de los datos sobre tráfico que permiten obtener
perfiles individuales de comunicación incluyendo fuentes de información y ubicación
geográfica del usuario de teléfonos fijos o móviles y a los posibles efectos perniciosos
sobre la intimidad resultantes de la recopilación, difusión o uso posterior de dichos
datos. En el apartado 2 del artículo 6 se incluye una excepción relativa al tratamiento
de datos sobre tráfico a los efectos de la facturación de los usuarios y de los pagos de
las interconexiones, pero únicamente hasta la expiración del plazo durante el cual
pueda impugnarse legalmente la factura o exigirse el pago.
El apartado 1 del artículo 14 permite a los Estados miembros limitar el alcance de las
obligaciones y derechos que se establecen en el artículo 6 cuando dichas limitaciones
constituyan una medida necesaria para la salvaguardia de la seguridad nacional y la
prevención, investigación, detección y represión de infracciones penales tal como se
indica en el apartado 1 del artículo 13 de la Directiva 95/46/CE.
De estas disposiciones se deduce que los operadores de telecomunicaciones y los
proveedores de servicio Internet no pueden recopilar y almacenar datos únicamente
para controlar el cumplimiento de la legislación, a menos que así se les exija
legalmente de conformidad con los motivos y condiciones antes mencionados. Esto
coincide con los hábitos tradicionales de la mayoría de los Estados miembros, donde
la aplicación de los principios nacionales de protección de datos ha dado lugar a la
prohibición al sector privado de conservar datos personales con el único motivo de
una posible necesidad posterior expresada por la policía o las fuerzas de seguridad del
Estado.
En este contexto, es de observar que a efectos de control y en las condiciones
incluidas en el artículo 13 de la Directiva 95/46/CE y el artículo 14 de la Directiva
97/66/CE, la mayoría de los Estados miembros tienen disposiciones legislativas que
definen las condiciones precisas en las cuales la policía y las fuerzas de seguridad del
Estado pueden tener acceso a datos almacenados por operadores privados de
telecomunicaciones y proveedores de servicio Internet para sus propios fines civiles.
Como ya indicó el Grupo en su Recomendación 2/99 sobre la protección de la
intimidad en el contexto de la interceptación de las telecomunicaciones adoptada el 3
de mayo de 19997, el que un tercero llegue a poseer datos sobre tráfico relativos al uso
de los servicios de telecomunicación se ha considerado generalmente interceptación
de las telecomunicaciones, por lo que constituye una violación del derecho a la
7
Se puede consultar en: véase nota 1.
4
intimidad de las personas y a la confidencialidad de las comunicaciones tal como está
garantizado en el artículo 5 de la Directiva 97/66/CE8. Además, la difusión de estos
datos sobre tráfico es incompatible con el artículo 6 de la citada Directiva.
Toda violación de estos derechos y obligaciones es inaceptable a menos que cumpla
tres criterios fundamentales, de conformidad con el apartado 2 del artículo 8 del
Convenio europeo para la protección de los Derechos Humanos y las Libertades
Fundamentales de 4 de noviembre de 1950, y se ajuste a la interpretación del Tribunal
europeo de Derechos Humanos de tal disposición: un fundamento jurídico, la
necesidad de dicha medida en una sociedad democrática y la conformidad con uno de
los objetivos legítimos enumerados en el Convenio. El fundamento jurídico debe
definir con precisión los límites y medios de aplicación de la medida: los fines para
los que se podrán tratar los datos, el plazo durante el cual se podrán conservar (en
caso de que se puedan conservar) y el acceso a los mismos deberán estar estrictamente
limitados. Es imprescindible prohibir la vigilancia exploratoria o general a gran
escala9. De ello se deduce que los poderes públicos podrán tener acceso a datos sobre
tráfico únicamente de manera individualizada y nunca sistemática ni general.
Estos criterios coinciden con las disposiciones antes citadas del artículo 13 de la
Directiva 95/46/CE y del artículo 14 de la Directiva 97/66/CE.
Divergencia entre las normas nacionales
10
En relación con el periodo durante el cual se pueden conservar los datos sobre tráfico,
la Directiva 97/66/CE solamente permite su tratamiento a efectos de facturación11 y
8
Las autoridades de control también necesitan acceder a información sobre conexión en tiempo real
y a datos relativos a las conexiones activas (los denominados “datos sobre tráfico futuro”).
9
Véanse, en particular, las sentencias Klass, de 6 de septiembre de 1978, serie A n° 28, p 23 y s, y
Malone, de 2 de agosto de 1984, serie A n° 82, p 30 y s.
La sentencia Klass, así como la sentencia Leander de 25 de febrero de 1987, hacen hincapié en la
necesidad de “garantías suficientes contra los abusos, ya que un sistema de vigilancia secreta
destinado a proteger la seguridad nacional crea el riesgo de minar, o incluso de destruir, la
democracia pretendiendo defenderla” (Sentencia Leander, serie A n° 116, p 14 y s).
El Tribunal observa en la sentencia Klass (apartados 50 y s) que la valoración de la existencia de
garantías adecuadas y suficientes contra los abusos depende de todas las circunstancias de la causa.
Considera en la sentencia en cuestión que las medidas de vigilancia previstas por la legislación
alemana no autorizan la vigilancia exploratoria o general y no infringen el artículo 8 del Convenio
europeo de protección de los derechos humanos. Las garantías previstas por la ley alemana son las
siguientes: sólo pueden efectuarse medidas de vigilancia cuando ciertos indicios permitan
sospechar que alguien proyecta realizar, realiza o ha realizado infracciones graves; sólo pueden
prescribirse si el esclarecimiento de los hechos por otros medios está llamado al fracaso o presenta
considerables obstáculos; incluso en ese caso la vigilancia sólo podrá referirse a la persona del
sospechoso o a las personas presuntamente en contacto con éste.
Actualmente, la Comisión está analizando la legislación de los Estados miembros que han
notificado las medidas nacionales de transposición de la Directiva 97/66/CE y de la Directiva
95/46/CE. Véase el cuadro de transposición relativo a la Directiva 95/46/CE en: véase nota 4.
10
11
Y, en caso necesario, para los pagos de las interconexiones entre operadores de
telecomunicaciones, véase el apartado 2 del artículo 6 de la Directiva 97/66/CE.
5
únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente
la factura. No obstante, este plazo varía significativamente de un Estado miembro a
otro. Por ejemplo, en Alemania los operadores de telecomunicaciones y los
proveedores de servicios de telecomunicación pueden almacenar los datos necesarios
para facturación durante un plazo máximo de 80 días a efectos de demostrar la
corrección de la factura12. En Francia, depende del tipo de operador: el operador de
telecomunicaciones "tradicional" puede conservar los datos sobre tráfico hasta un año
basándose en la ley que fija el plazo durante el cual puede impugnarse la factura. Este
plazo queda fijado en 10 años para los demás operadores. En Austria, la ley sobre
telecomunicaciones no fija ningún plazo concreto para guardar los datos sobre tráfico
a efectos de facturación, sino que lo limita al plazo durante el cual puede impugnarse
la factura o exigirse el pago. En el Reino Unido, de conformidad con la ley, la factura
puede impugnarse durante seis años, pero los operadores y proveedores de servicio
almacenan los datos pertinentes durante unos 18 meses. En Bélgica, por ejemplo, la
ley no define el plazo, pero el mayor proveedor de servicios de telecomunicación lo
establece en 3 meses en sus condiciones generales. Otra práctica distinta puede
observarse en Portugal pues, dado que el plazo no está fijado por ley, la autoridad
nacional de control de la protección de datos decide de manera individualizada. Es
interesante destacar que en Noruega el plazo está fijado en 14 días.
Tampoco es homogénea la práctica habitual de los proveedores de servicio Internet:
parece que los pequeños proveedores conservan los datos sobre tráfico durante
periodos muy breves (unas horas) debido a falta de capacidad de almacenamiento.
Los proveedores más importantes, que pueden permitirse disponer de capacidad de
almacenamiento, pueden conservar los datos sobre tráfico durante unos meses (pero
todo depende de su política de facturación: por tiempo de conexión o por periodos
fijos).
A efectos de aplicación de la legislación, la ley sobre telecomunicaciones holandesa
obliga a los operadores de telecomunicaciones y a los proveedores de servicio a
recopilar y almacenar los datos sobre tráfico durante tres meses.
Obstáculos para el funcionamiento del mercado interior
Estas divergencias podrían plantear obstáculos en el mercado interior para la
prestación transfronteriza de servicios de telecomunicación e Internet, y la existencia
de plazos tan diferentes puede dificultar el control del cumplimiento legislativo. Se
puede dar el caso de que un proveedor de servicio Internet establecido en un Estado
miembro no tenga derecho a almacenar datos sobre tráfico durante más tiempo del
permitido en el Estado miembro donde el cliente utiliza sus servicios, o bien que se
vea obligado a conservar los datos sobre tráfico durante más tiempo del permitido en
su propio Estado miembro porque el país de los usuarios así lo exija legalmente. En
caso de la facturación por itinerancia en telefonía móvil, quien cobra la factura es el
operador nacional del abonado que usa este servicio en lugar del operador extranjero,
por lo que los diversos plazos de almacenamiento de datos necesarios para la
12
Si se impugna la factura durante este periodo, los datos pertinentes se podrán conservar hasta que
el litigio quede resuelto.
6
facturación pueden dar lugar a los mismos problemas que en el caso de los
proveedores de servicio Internet. La norma de legislación aplicable definida en el
artículo 4 de la Directiva 95/46/CE únicamente resuelve este problema si el proveedor
de servicios Internet es el responsable y está establecido en un solo Estado miembro,
pero no cuando está establecido en varios Estados miembros con distintos plazos o
cuando trata datos sobre tráfico en nombre del responsable.
Recomendación
En vista de lo anterior, el Grupo considera que los medios más eficaces para evitar
riesgos inaceptables a la intimidad y reconocer simultáneamente la necesidad de una
ejecución eficaz de la ley es que, en principio, los datos sobre tráfico no deberán
conservarse a efectos exclusivos de control y que las legislaciones nacionales no
deberán obligar a los operadores de telecomunicaciones, proveedores de servicios de
telecomunicación y proveedores de servicios Internet a conservar los datos sobre
tráfico durante un plazo superior al necesario a efectos de facturación.
El Grupo recomienda que la Comisión Europea proponga medidas apropiadas para
una mayor armonización del plazo durante el cual se permite a los operadores de
telecomunicaciones, proveedores de servicios de telecomunicación y proveedores de
servicio Internet conservar los datos sobre tráfico para facturación y pago de
interconexiones13. El Grupo considera que este plazo deberá ser suficiente para
permitir a los consumidores impugnar la factura, pero lo más breve posible para no
sobrecargar a los operadores y proveedores de servicios y para respetar los principios
de proporcionalidad y especificidad como componentes del derecho a la intimidad.
Este plazo debe ser conforme con los mayores niveles de protección observados en
los Estados miembros. El Grupo llama la atención sobre el hecho de que en varios
Estados miembros se han aplicado satisfactoriamente plazos no superiores a tres
meses.
Por último, el Grupo recomienda que los gobiernos nacionales tengan en cuenta estas
consideraciones.
Hecho en Bruselas a 7 de septiembre
de 1999
Por el Grupo de Trabajo
El Presidente
Peter HUSTINX
13
En vista de este objetivo, no se justifica ninguna distinción entre operadores privados y públicos.
7
Documentos relacionados
Modelo de convocatoria de Junta Directiva
Modelo de convocatoria de Junta Directiva
Proyecto y Directiva de Curso
Proyecto y Directiva de Curso
formato en el que recibir n los alegaciones
formato en el que recibir n los alegaciones
sistemas de telecomunicaciones e informaticos
sistemas de telecomunicaciones e informaticos
queda abierto un plazo de presentación de
queda abierto un plazo de presentación de
Descargar
Anuncio
Anuncio