GRUPO DE EXPERTOS «PLATAFORMA PARA LA CONSERVACIÓN DE DATOS ELECTRÓNICOS PARA CON FINES DE INVESTIGACIÓN, DETECCIÓN Y ENJUICIAMIENTO DE DELITOS GRAVES» ESTABLECIDO POR LA DECISIÓN 2008/324/CE DE LA COMISIÓN Serie A (Documentos orientativos técnicos) Documento # 2: Obligación de conservar los registros de correo electrónico ¿Cuándo deben conservarse los datos del correo electrónico no solicitado (spam)? Versión final 8 de junio de 2009 Fecha y estado - El presente documento de posición fue adoptado el 6 de mayo de 2009 por procedimiento escrito, de conformidad con el artículo 5, apartado 1 de las Normas de procedimiento de la plataforma para la conservación de datos electrónicos – en su versión modificada de 6 de junio de 2009 - Se aplica una cláusula de exención de responsabilidad (véase al final de este documento) Aspectos de la Directiva 2006/24/CE contemplados por el presente documento Artículo 5, apartado 1 - categorías de datos que deberán conservarse: obligación de los proveedores de servicios de comunicaciones electrónicas de conservar los datos relativos a la distribución y recepción de correo electrónico; Considerandos 11, 13 y 23: el primero de ellos declara que los proveedores deberán conservar los «datos generados o tratados, en el marco de la prestación de servicios de comunicaciones». Observaciones clave El correo electrónico masivo no solicitado, comúnmente conocido como «spam», supone un gran problema para los proveedores de servicios de correo electrónico. Los gestores de servidor de correo utilizan diversos medios para reducir el impacto del spam, bien como metodologías alternativas, bien de común acuerdo entre ellos. El destinatario ni pide ni desea tales mensajes electrónicos, por lo que carecen de valor para las autoridades policiales en la investigación de delitos para los cuales se deban conservar los datos de conformidad con la Directiva 2006/24/CE. De hecho, conservar cantidades enormes de spam puede afectar negativamente a la capacidad de los proveedores de servicios de conservar y, cuando así se solicite, de recuperar los datos para las autoridades policiales. No obstante, la Directiva 2006/24/CE no hace ninguna distinción entre los correos electrónicos que deben conservarse. Por ello, el presente documento analiza hasta qué punto los proveedores de servicios de correo electrónico, que, conforme a la Directiva, están normalmente obligados a conservar los datos de todo correo electrónico enviado a sus clientes, pueden eludir dicha obligación en relación con los spam. Recomendaciones Cuando un correo electrónico, pese a estar marcado como spam por el proveedor de servicios de correo, se envíe al usuario, el proveedor deberá conservar un registro de dicho correo electrónico de conformidad con la Directiva; Página 1 de 5 Si un spam es eliminado por un proveedor de servicios de correo, de modo que no se realice la transmisión de la comunicación al destinatario previsto, el proveedor, de conformidad con la Directiva, no deberá conservar ningún registro de dicho correo electrónico; Si el gestor de servidor de correo pone el correo electrónico a disposición del usuario final (por ejemplo, para que pueda «ser recibido» por el usuario), se espera que el gestor de servidor de correo trate el correo electrónico como sujeto a la obligación de conservación. Grupo de expertos en conservación de datos Interpretación de la Directiva de conservación de datos: correo electrónico y spam Descripción de la disposición relativa al correo electrónico El correo electrónico de internet se envía de un servidor de correo electrónico a otro. El cuadro 2 ilustra este proceso: Aquí un usuario (1) conecta con un servidor de correo electrónico (2) para enviar un correo electrónico. El servidor de correo electrónico envía el correo electrónico a través de internet a otro correo electrónico (3). El destinatario final (4) puede a su debido tiempo conectar con el servidor destinatario de correo electrónico para recoger el mensaje. Los servidores (2 y 3) pueden ser gestionados por redes que proporcionan a los usuarios acceso a internet (de hecho, es habitual que los proveedores de acceso a internet proporcionen este servicio, así como la conexión. Sin embargo, este servicio es diferente del suministro de Página 2 de 5 acceso a internet, y no es raro obtener el servicio de correo electrónico de un tercer proveedor, o incluso de un proveedor de servicios de la sociedad de la información que no entre en el ámbito de aplicación de la Directiva (por ejemplo, los proveedores de webmail). ¿Qué tipos de datos hay? El servidor remitente (2) recibirá la siguiente información, que puede registrar y conservar: La dirección IP del usuario (1) La dirección IP del servidor destinatario del correo (3) La dirección de correo electrónico de destino, que puede ser la utilizada por el destinatario final (4), o una dirección intermedia. El servidor remitente desconoce la dirección IP del usuario (4), que es quien en definitiva recibe el correo electrónico. El servidor destinatario (3) recibirá la siguiente información, que puede registrar y conservar: La dirección IP del servidor remitente (2), o La dirección IP del usuario destinatario (4), o bien la dirección IP de otro servidor (por ejemplo, cuando se gestiona una lista de distribución de correo electrónico) El servidor destinatario (3) puede conocer la dirección IP y la dirección de correo electrónico del remitente original, pero estos datos pueden falsificarse y son tan poco fiables que las autoridades policiales generalmente buscan esta información en el servidor de origen (2). Téngase en cuenta que la capacidad de los gestores de servidor de correo para identificar a los usuarios consiste en registrar la dirección IP utilizada en un momento dado. La trazabilidad, por lo tanto, requiere que esta información se utilice junto con la dirección IP para establecer un nexo con la asignación conservada por los proveedores de acceso. Filtrado de spam El correo electrónico masivo no solicitado, comúnmente conocido como «spam», es una plaga de internet. Se ha convertido en un problema tal que se han pedido sucesivas medidas de acción para reducirlo y frenarlo. Los gestores de servidor de correo utilizan diversos medios de reducir el impacto del spam, bien como metodologías alternativas, bien de común acuerdo entre ellos. Método 1: Denegación de conexión del servidor de correo electrónico Un método utilizado por el servidor destinatario de correo para prevenir la recepción de spam es rechazar la conexión a ciertos servidores de correo1, de manera que no se transmita ningún correo electrónico entre ellos. Al no existir tal transmisión, el procedimiento que consiste en bloquear un transmisor determinado no puede depender del contenido del correo electrónico que se desea enviar, ya que la decisión de bloquear se produce antes de que el destinatario potencial haya visto el mensaje. Dichos procedimientos, por lo tanto, se basan generalmente en el hecho de que el servidor remitente es conocido (o así se cree) por haber enviado spam. 1 Ello puede hacerse mediante el protocolo SMTP, por ejemplo contestando simplemente a la orden de apertura "HELO" con una respuesta negativa, como por ejemplo «554», o al nivel TCP enviando un paquete TCP RST (restablecimiento). Página 3 de 5 Un gestor de servidor de correo que desee bloquear a los distribuidores de correo basándose en su reputación de ser origen de spam puede utilizar una lista de bloqueo accesible al público. Diversos proveedores comerciales y no comerciales suministran listas públicas de distribuidores de spam que pueden utilizarse con este fin. Dichas publicaciones pueden registrar las listas de servidores de correo que ya han enviado spam a estos suministradores de listas, o pueden simplemente registrar las denuncias recibidas. Un ejemplo de bloqueo del correo en función del origen se produce cuando un gestor de servidor de correo en Europa decide que se puede bloquear todo el correo de un determinado país asiático, cuando la probabilidad de que el correo electrónico legítimo procedente de allí es tan pequeña que cabe suponer que se trata de spam. Cualesquiera que sean los medios utilizados para determinar cuándo emplear este método de bloqueo, ni el usuario ni su proveedor de servicios de correo reciben nunca correo electrónico que se sospecha ser spam. Por consiguiente, las políticas de filtrado de correo que dependen de un análisis del contenido del mensaje no pueden aplicarse a este método. Método 2: Clasificación del correo electrónico y archivo discriminatorio Un método alternativo de control del spam consiste en que el servidor destinatario analiza el contenido del correo recibido para intentar determinar si es spam (existe una amplia variedad de métodos), y en función del resultado cambia la ubicación de almacenamiento del correo. En consecuencia, el usuario recibirá normalmente todo correo electrónico supuestamente libre de spam, pero solamente recibirá correo supuestamente con spam si lo pide específicamente (sin duda para comprobar la exactitud del algoritmo de clasificación). Al utilizar este método de bloqueo, el gestor de servidor de correo puede tratar automáticamente el contenido del correo para determinar la probabilidad de que sea spam. Hay una amplia variedad de procedimientos, entre ellos el bloqueo basado en palabras clave o el análisis estadístico. Conforme a este método, el usuario no recibirá normalmente el correo electrónico marcado como spam; el gestor de servidor de correo lo conservará temporalmente, y normalmente lo eliminará sin haberlo leído al cabo de cierto tiempo. Método 3: Clasificación y marcado del correo electrónico para que el usuario tome una decisión El tercer método es inicialmente similar al segundo, salvo que cuando se clasifica el correo como spam no se archiva por separado sino el proveedor de servicios de correo lo marca simplemente como spam. Se entrega todo el correo al usuario, sobre el cual recae la responsabilidad de decidir cómo disponer del correo marcado como spam por el gestor de servicios de correo. Obligaciones de conservación y filtrado de spam Está claro que la obligación de conservar el correo electrónico se aplica también al correo electrónico marcado como spam por el proveedor de servicios de correo, cuando dicho correo electrónico se ha enviado al usuario (método 3). La obligación de conservación en los otros dos casos requiere un análisis más profundo. En el caso del método 1, el servidor destinatario de correo («3» en el cuadro 1) no recibe ningún correo electrónico; aunque el servidor distribuidor de correo indique que desea enviar correo electrónico, dicha transmisión no se produce. No hay, pues, ningún correo electrónico al que aplicar la obligación de conservación. Un prestador de servicios de correo que emplee el Página 4 de 5 método 1 no tiene, por lo tanto, ninguna obligación de conservar nada por lo que respecta a dichas conexiones incompletas. En el caso del método 2, aunque el servidor de correo pueda haber recibido un correo electrónico, el usuario no lo ha hecho. No hay ningún motivo evidente para conservar los datos relativos al spam, que, aunque haya sido enviado en grandes cantidades, nunca ha sido recibido o leído por un usuario final. Cuando puede demostrarse definitivamente que el correo no ha llegado al usuario final, dicho correo electrónico puede considerarse «en transmisión» a efectos de su conservación. Por lo tanto, no hay ninguna obligación para conservar los datos de dicho correo electrónico hasta que haya sido recibido por el usuario final. En otros casos, el gestor de servidor de correo puede no distinguir entre el correo recibido o no recibido por el usuario final. En estos casos, se espera que el gestor de servidor de correo trate todo correo electrónico como sujeto a la misma obligación de conservación. Por lo tanto, la obligación de conservar los datos relativos al spam se determinará con arreglo a un principio fijo, pero podrá aplicarse de diferente manera entre los gestores de servidor de correo, de conformidad con sus sistemas particulares. Desde la perspectiva del usuario, se conservarán los datos de las comunicaciones respecto a todo el correo electrónico que reciba (a condición de que su proveedor de servicios de correo electrónico entre en el ámbito de aplicación de la Directiva), pero solamente se conservará el correo electrónico enviado si llega a su destino. Cláusula de exención de responsabilidad Los puntos de vista y las opiniones expresados en este documento no son compartidos necesariamente por cada uno de los miembros del grupo de expertos "plataforma para la conservación de datos electrónicos con fines de investigación, detección y enjuiciamiento de delitos graves" y no constituyen un asesoramiento jurídico. Las opiniones expresadas en este documento no reflejan necesariamente los puntos de vista de la Comisión Europea que no asume ningún tipo de responsabilidad con respecto a su contenido. Para más detalles sobre la procedencia y el estado de las orientaciones de este documento, véase el documento adjunto «Introducción a esta serie». Página 5 de 5