La dirección IP

Anuncio
LA DIRECCIÓN IP.
PROBLEMAS QUE PLANTEA.
AUTOR: Eduard Chaveli Donet.
NOTA: Este post es un extracto de la contribución del autor en el libro “Fraude electrónico en entidades financieras y usuarios de banca: problemas
y soluciones”.
- Coordinadora: Sanchís Crespo, Carolina
- Editorial: Editorial Aranzadi, S.A.
- Fecha de la edición: 2011
- Lugar de la edición: Pamplona. España
Puede encontrar más información sobre el libro en la siguiente página Web:
http://www.aranzadi.es/index.php/catalogo/tipo/libros/fraude-electronico-entidades-financieras-y-usuarios-de-banca.
1.- INTRODUCCIÓN.
La dirección IP “es una etiqueta numérica que identifica, de manera lógica y
jerárquica, a una interfaz (elemento de comunicación/conexión) de un
dispositivo (habitualmente una computadora) dentro de una red que utilice el
protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo
TCP/IP, Los sitios de Internet que por su naturaleza necesitan estar
permanentemente conectados, generalmente tienen una dirección IP fija
(comúnmente, IP fija o IP estática), esta, no cambia con el tiempo. Los
servidores de correo, DNS, FTP públicos y servidores de páginas Web
necesariamente deben contar con una dirección IP fija o estática, ya que de
esta forma se permite su localización en la red.
A través de Internet, los ordenadores se conectan entre sí mediante sus
respectivas direcciones IP. Sin embargo, a los seres humanos nos es más
cómodo utilizar otra notación más fácil de recordar, como los nombres de
dominio; la traducción entre unos y otros se resuelve mediante los servidores
de nombres de dominio DNS”.
De ello se desprende la importancia de la dirección IP como elemento de
identificación de los autores o intervinientes en este tipo de delincuencia.
2.- CONSIDERACIÓN DE LA DIRECCIÓN IP COMO DATO DE CARÁCTER
PERSONAL.
Ahora bien, lo relevante jurídicamente de la dirección IP es consecuencia de su
consideración o no como dato de carácter personal, puesto que si nos
encontramos ante un dato de carácter personal ello supone que estamos ante
un derecho fundamental (art. 18.4 CE) con lo que ello supone de garantías que
se han de adoptar en la práctica de pruebas que puedan suponer su
vulneración o merma. La vulneración de los derechos fundamentales supone la
posibilidad de activar la nulidad de las pruebas así obtenidas. Este interesante
tema requiere un estudio minucioso y detallado como el que realiza Elena
Martínez en su obra “Actos de investigación e ilicitud de la prueba” y cuya
lectura aconsejamos.
Ya hemos indicado lo que es una dirección IP. Inicialmente parece poco
“normal” pretender considerar a la dirección IP como dato de carácter personal,
pues nos encontramos ante un “número” que directamente no identifica a una
persona.
La definición de dato de carácter personal de la LOPD (art. 3.a) es la siguiente:
“Cualquier información concerniente a personas físicas identificadas o
identificables”.
Y el RDLOPD desarrolla este concepto de la siguiente forma (art. 5.1. f):
“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier otro tipo concerniente a personas físicas identificadas o identificables”.
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 2 de 12
Por tanto, para que algo constituya dato de carácter personal no debe
necesariamente referirse a una persona identificada “directamente” sino que es
posible que nos encontremos ante un dato de carácter personal cuando la
persona no sea identificada pero si identificable.
El concepto de “persona identificable” nos lo brinda el artículo 5.1.o del
RDLOPD del siguiente modo: “toda persona cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información referida
a su identidad física, fisiológica, psíquica, económica, cultural o social. Una
persona física no se considerará identificable si dicha identificación requiere
plazos o actividades desproporcionados”.
Por tanto: dato de carácter personal no es únicamente aquello que
directamente identifica a una persona (como puede ser el nombre y apellidos, o
su imagen, por poner varios ejemplos), sino que también aquello que la haga
identificable. En este sentido existen informes de la Agencia en los que se
plasma la opinión de la AEPD y según los cuales tienen también la
consideración de dato de carácter personal elementos tan variopintos como el
número de teléfono fijo, la dirección de una vivienda, la matrícula de vehículos,
o la propia dirección IP.
Efectivamente es doctrina reiterada de la AEPD que la IP es un dato de
carácter personal.
Ya en el año 2003, el informe “Carácter de dato personal de la dirección IP.
Informe 327/2003” se concluía que “aunque no siempre sea posible para todos
los agentes de Internet identificar a un usuario a partir de datos tratados en la
Red, desde esta Agencia de Protección de Datos se parte de la idea de que la
posibilidad de identificar a un usuario de Internet existe en muchos casos y, por
lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del
tipo de acceso, se consideran datos de carácter personal resultando de
aplicación la normativa sobre protección de datos”.
Esta conclusión se ha mantenido en informes posteriores próximos al uso que
de la IP vamos a considerar como el Informe 213/2004 (denominado “Cesión
de la dirección IP a las Fuerzas y Cuerpos de Seguridad”.
Se trata de una opinión que ha suscitado muchos debates y críticas. De hecho
ha habido resoluciones polémicas en otros países europeos (sujetos a la
aplicación del marco común en protección de datos que supone la Directiva
95/46), por ejemplo en Francia. Es cierto que la AEPD recoge las conclusiones
del Grupo de Trabajo del Artículo 29. Pero es discutible predicar que una IP
identifique a un usuario y no al titular de una línea, dos cosas diferentes, pero
que parece que la AEPD y el Grupo del Artículo 29 parecen no distinguir.
Ello, además afecta también a la existencia o no de prueba de cargo para
desvirtuar la inocencia. Y aunque la Jurisprudencia en éste punto parece
exigente, lo cierto es que en la práctica se conjugan diversos elementos
fácticos que componen una base probatoria mínima para condenar.
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 3 de 12
El problema se deriva de la consideración de la dirección IP como dato de
carácter personal implica la aplicación de la normativa de protección de datos.
Y ello supone -por tanto- que estemos ante un derecho fundamental, cuya
limitación tiene importantes consecuencias, como analizaremos.
Ya desde un inicio eso se proyecta sobre las especiales cautelas o limitación
respecto de su retención. Nos centraremos en los problemas que plantea la
retención de la IP, sin referirnos a otros actos que posteriormente la siguen en
la instrucción, como por ejemplo la entrada y registro en el domicilio del
abonado que se practica al objeto de incautar el equipo informático utilizado
para la comisión del delito, que también plantean interesantes cuestiones.
No obstante, antes de abordar los temas que siguen plateando problemas,
haremos referencia a un aspecto que ya ha sido zanjado y es pacífico: el
tratamiento de información facilitada por el perjudicado y la captada
directamente a través de Internet.
3.- INFORMACIÓN EN PODER DE LOS PERJUDICADOS Y EN INTERNET.
Hay una serie de información que por estar en poder de los perjudicados (por
ejemplo el E-mail que se recibió, en el caso del phising, los datos de la cuenta
bancaria, etc.) o por estar en Internet no plantean problemas de aportación. Si
bien esta última cuestión planteó en su día dudas que han ido disipándose. La
Sentencia 09/05/2008 del TS señala que “No se precisa de autorización judicial
para conseguir lo que es público y el propio usuario de la red es quien lo ha
introducido en la misma. La huella de la entrada queda registrada siempre y
ello lo sabe el usuario. Consecuentemente quien utiliza un programa P2P, en
nuestro caso Emule, asume que muchos de los datos se convierten en públicos
para los usuarios de Internet, circunstancia que conocen o deben conocer los
internautas, y tales datos conocidos por la policía, datos públicos en Internet,
no se hallaban protegidos por el art. 18.1º ni por el 18.3 CE”. Y aunque
proliferan más los supuestos en que se aplica a casos de propiedad intelectual,
lo mismo podríamos decir de los delitos relativos al fraude electrónico.
Sentado que no se trata de actos de investigación que afectan a derechos
fundamentales y como con su habitual claridad explica en su magnífica obra
Eloy Velasco su posibilidad “está perfectamente avalada y posibilitada por los
artículos 282 y 770.3 de la LECrim y 11.1.g) de la LO 2/1986, de Fuerzas y
Cuerpos de Seguridad (“recoger – asegurar y custodiar en todo caso – todos
los efectos, instrumentos o pruebas del delito de cuya desaparición hubiera
peligro”) así como por los artículos 326.3 LECrim , 14 LO 1/1992, de 21 de
febrero, de protección de la Seguridad Ciudadana, y 28 e) RD 769/1987, de 19
de junio, de Policía Judicial, y por numerosa jurisprudencia de la que es
paradigmática la STS 27/12/2006 y las que allí cita indicando que se trata de un
acto de investigación policial que tampoco precisa la intervención del secretario
judicial”.
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 4 de 12
Por lo que respecta a la posibilidad de averiguación del titular de una IP este
será el primer paso: averiguar el proveedor titular de dicha IP para
posteriormente oficiarle al mismo para que indique quien es el titular de la línea.
Este primer paso, la averiguación del proveedor, se puede realizar fácilmente
accediendo a información que consta en las bases de datos conocidas como
bases de datos “whois”. Existen diversas y con diferente “contenido” de
información.
4.- RETENCIÓN DE DATOS DE TRÁFICO.
Como hemos adelantado, los problemas se plantean cuando la información
(particularmente la IP) no es accesible directamente a través de Internet y hay
que solicitarla al proveedor que disponga de la misma, dado que es un dato de
tráfico que ellos manejan.
La IP es uno, pero no el único de los “datos de tráfico”. Nuestro ordenamiento
jurídico regula la retención de los datos de tráfico en dos supuestos diferentes:
a.- Los requeridos por la 25/2007 (Ley 25/2007, de 18 de octubre, de
conservación de datos relativos a las comunicaciones electrónicas y a
las redes públicas de comunicaciones).
b.- Los que permite el art. 65 del RD 424/2005, que desarrolla la Ley
General de Telecomunicaciones.
La Ley 25/2007 tiene por objeto (Art. 1.1) “la regulación de la obligación de los
operadores de conservar los datos generados o tratados en el marco de la
prestación de servicios de comunicaciones electrónicas… así como el deber de
cesión de dichos datos a los agentes facultados siempre que sean requeridos a
través de la correspondiente autorización judicial con fines de detención,
investigación y enjuiciamiento de delitos graves…”
Los datos que dispone la Ley que tiene que ser objeto de conservación (art. 3)
son los datos de localización y de tráfico, lo que incluye la dirección IP, pero no
sólo ésta.
Por lo que respecta al periodo de conservación de los datos (art. 5) se
establece un periodo que - como regla general - es de 12 meses.
Para acceder a los datos tratados en el marco de la 25/2007, sólo están
habilitados los agentes facultados por la propia ley, que son únicamente (art.
6.2):
a) Los miembros de las Fuerzas y Cuerpos de Seguridad, cuando
desempeñen funciones de policía judicial, de acuerdo con lo previsto en
el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder
Judicial.
b) Los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el
desarrollo de sus competencias como policía judicial, de acuerdo con el
apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal.
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 5 de 12
c) El personal del Centro Nacional de Inteligencia en el curso de las
investigaciones de seguridad sobre personas o entidades, de acuerdo
con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro
Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo,
reguladora del control judicial previo del Centro Nacional de Inteligencia.
Los datos a conservar están tasados y es obligatorio.
Por otra parte, el art. 65.5 del RD 424/2005 dispone que (la negrita es nuestra):
"5. El tratamiento de los datos de tráfico, de conformidad con los apartados
anteriores, sólo podrá realizarse por las personas que actúen bajo la autoridad
del operador prestador del servicio o explotador de la red que se ocupen de la
facturación o de la gestión del tráfico, de las solicitudes de información de los
clientes, de la detección de fraudes, de la promoción comercial de los servicios
de comunicaciones electrónicas, de la prestación de un servicio con valor
añadido o de suministrar la información requerida por los jueces y tribunales,
por el Ministerio Fiscal o por los órganos o entidades que pudieran reclamarla
en virtud de las competencias atribuidas por la Ley 32/2003, de 3 de noviembre.
En todo caso, dicho tratamiento deberá limitarse a lo necesario para realizar
tales actividades".
La finalidad en este caso es permitir que las empresa de telecomunicaciones
almacenen ciertos datos de tráfico a efectos de facturar, y de marketing (en
este casi si se dispone del consentimiento de usuario).
En este caso los datos a conservar son "los necesarios" y no es obligatorio sino
voluntario.
Por tanto se trata de tratamientos diferentes, con diferentes normas habilitantes
y regulación también diferente.
La exposición anterior nos hace ver que existen dos marcos normativos con
diferentes finalidades y diferente régimen. Pero en ambos, existe un elemento
común: la IP. Ello plantea varios problemas:
1.- El primero de ellos es el relativo a quienes son los sujetos obligados a la
retención de los datos de tráfico en la Ley 25/2007.
El art. 2 menciona como sujetos obligados tanto a los “destinatarios de las
obligaciones relativas a la conservación de datos impuestas en esta Ley los
operadores que presten servicio de comunicaciones electrónicas disponibles al
público o exploten redes públicas de comunicaciones, en los términos
establecidos en la Ley 32/2003, General de Telecomunicaciones” como a los
“operadores, en los términos definidos por el apartado 21 del Anexo de la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones, definidos como
"persona física o jurídica que explota redes públicas de comunicaciones
electrónicas o presta servicios de comunicaciones electrónicas disponibles al
público y ha notificado a la Comisión del Mercado de las Telecomunicaciones el
inicio de su actividad”. De ello resulta que los obligados son:
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 6 de 12
i.
ii.
iii.
Los proveedores de servicios de Internet
Los proveedores de acceso.
Los prestadores de servicios de Internet que permitan la utilización de
las redes públicas de comunicaciones electrónicas por parte de los
usuarios (ej. prestadores del servicio de correo electrónico).
Y por tanto no resultan obligados los restantes prestadores de servicios de la
sociedad de la información, incluidos los de intermediación, cuya actividad no
pueda ser incluida en la propia de los operadores.
2.- Ello nos lleva a la siguiente cuestión. Entonces aquellos que no están
obligados: ¿Pueden retener voluntariamente la dirección IP? Si, pero
recordemos que la LOPD dispone como regla general (excepto en los casos en
que existe una excepción, como por ejemplo una ley habilitante) que se
disponga del consentimiento parea el tratamiento de los datos (vid. Art. 6
LOPD).
3.- La siguiente cuestión que se plantea es la siguiente: ¿Quienes pueden
acceder a la misma?
La regulación sobre la interceptación de las comunicaciones electrónicas
establece que es el juez quien debe ordenarlas pero también contempla que
las autoridades administrativas competentes puedan solicitar a las operadoras
de telefonía determinada información sobre las mismas.
La Sala General no jurisdiccional del TS aprobó el 23 de febrero de 2010 el
siguiente acuerdo: "Es necesaria la autorización judicial para que los
operadores que prestan servicios de comunicaciones electrónicas o de redes
públicas de comunicación cedan los datos generados o tratados con tal motivo.
Por lo cual, el Mº Fiscal precisará de tal autorización para obtener de los
operadores los datos conservados que se especifican en el art. 3 de la Ley
25/2007 de 18 de octubre".
El contenido de la misma afloró en la interesante STS 247/2010.
Los aspectos más relevantes de la citada Sentencia son los siguientes:
1.- En primer lugar cabe decir que la misma fue dictada sobre unos hechos a
los que no era de aplicación la Ley 25/2007, peor que - no obstante - la
sentencia realiza referencias “con carácter dialéctico” (según la misma indica)
al citado acuerdo de la Sala no jurisdiccional.
2.- Recuerda que la sentencia del Tribunal Constitucional nº 123 de 20 de
mayo de 2002, que se hace eco del caso Malone (de fecha 2-8-82 resuelto por
el Tribunal de Estrasburgo de Derechos Humanos) – dispone que “la obtención
del listado de llamadas hechas por los usuarios mediante el mecanismo técnico
utilizado por las compañías telefónicas constituye una injerencia en el derecho
fundamental al secreto de las comunicaciones reconocido en el art. 8 del
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 7 de 12
Convenio Europeo, equivalente al 18-3 C.E. En cuanto al concepto de secreto
de la comunicación no sólo cubre su contenido, sino otros aspectos de la
comunicación, como la identidad subjetiva de los interlocutores.
Consecuentemente podemos afirmar que el secreto a las comunicaciones
telefónicas garantiza también la confidencialidad de los comunicantes, esto es,
alcanzaría no sólo al secreto de la existencia de la comunicación misma y el
contenido de lo comunicado, sino a la confidencialidad de las circunstancias o
datos externos de la conexión telefónica: su momento, duración y destino…”
La Doctrina del caso Malone supone que la protección del derecho al secreto
de las comunicaciones alcanza "a cualquier forma de interceptación en el
proceso de comunicación, mientras el mismo esté teniendo lugar, siempre que
sea apta para desvelar la existencia misma de la comunicación, el contenido de
lo comunicado o los datos o elementos externos del proceso de comunicación".
3.- Pero, según el TS “los datos identificativos de un titular o de un terminal
deberían ser encuadrados, no dentro del derecho al secreto de las
comunicaciones (art. 18-3 C.E) si no en el marco del derecho a la intimidad
personal (art. 18.1º C.E)”.
Y siguiendo también la opinión del TS, la correcta interpretación de la doctrina
del caso Malone debería llevar a la siguiente distinción entre:
a) datos personales externos o de tráfico que hacen referencia a una
comunicación concreta y contribuyen a desvelar todo o parte del secreto que
protege el art. 18-3 C.E. En este caso pueden afectar al secreto de las
comunicaciones.
b) datos o circunstancias personales referentes a la intimidad de una
persona (art. 18-1º C.E.), pero autónomos o desconectados de cualquier
comunicación, que caerán dentro del derecho a la protección de datos
informáticos o habeas data del art. 18-4 C.E. que no pueden comprometer un
proceso de comunicación. Es decir: datos estáticamente almacenados,
conservados y tratados por operadores que se hallan obligados a la reserva
frente a terceros.
Ello lleva al Supremo a entender que la “absoluta equiparación de todo tipo de
datos de tráfico o externos o la inclusión de todos ellos dentro del derecho al
secreto de las comunicaciones comportaría un auténtico desenfoque del
problema, pues incorporaría en el ámbito de la protección constitucional del art.
18-3 , circunstancias cuyo tratamiento jurídico no debería separarse del que se
dispensa a la protección de datos o al derecho a la autodeterminación
informática del art. 18-4 C.E. (Véase por todas STS. nº 249 de 20-5-2008)”.
4.- Esta distinción abre la puerta a la aplicación (a los supuestos que no afectan
al secreto de las comunicaciones) del régimen de la legislación sobre
protección de datos. Y el artículo 11.2 de la LOPD contempla diversos
supuestos excepcionados de la necesidad de disponer del consentimiento del
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 8 de 12
interesado para su tratamiento. Entre ellos se contemplan (por su interés aquí)
los siguientes:
“a. Cuando la cesión está autorizada en una ley.
[…]
d. Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas”.
Siguiendo esta senda el Ministerio Fiscal podría estar habilitado para acceder a
los datos sin consentimiento pues se le contempla expresamente en el citado
artículo (apartado d), amén de que las competencias legales que tiene
conferidas en la investigación permitirían un anclaje en el supuesto de la letra
a).
Respecto de las Fuerzas y Cuerpos de Seguridad vemos que la letra a) al
referirse al supuesto de que “la cesión está autorizada en una ley” nos permite
acudir al artículo 22.2 de la propia LOPD que dispone: “La recogida y
tratamiento para fines policiales de datos de carácter personal por las Fuerzas
y Cuerpos de Seguridad sin consentimiento de las personas afectadas están
limitados a aquellos supuestos y categorías de datos que resulten necesarios
para la prevención de un peligro real para la seguridad pública o para la
represión de infracciones penales…”
Y según la AEPD será posible siempre y cuando se cumplan los siguientes
requisitos, enumerados en informe de 16 de julio de 1999 citado:
a) Que quede debidamente acreditado que la obtención de los datos resulta
necesaria para la prevención de un peligro real y grave para la seguridad
pública o para la represión de infracciones penales y que, tratándose de datos
especialmente protegidos, sean absolutamente necesarios para los fines de
una investigación concreta.
b) Que se trate de una petición concreta y específica, al no ser compatible con
lo señalado anteriormente el ejercicio de solicitudes masivas de datos.
c) Que la petición se efectúe con la debida motivación, que acredite su relación
con los supuestos que se han expuesto.
d) Que los datos sean cancelados “cuando no sean necesarios para las
averiguaciones que motivaron su almacenamiento”.
Ahora bien: como hemos indicado estas consideraciones sólo son a los efectos
dialécticos puesto que, como la propia sentencia delTS reconoce: “este
régimen jurídico sólo es aplicable antes de la ley 25/2007 de 18 de octubre; con
posterioridad a su vigencia debemos estar al acuerdo del Pleno no
jurisdiccional de esta sala de 23 de febrero de 2010- que requiere la
autorización judicial”.
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 9 de 12
A partir de aquí podemos realizar dos lecturas:
1.- Una literal del acuerdo del pleno en el sentido de cualquier supuesto
requiere de autorización judicial.
2.- Otra, quizá más sistemática (teniendo en cuenta las diferentes normas
existentes y también en el sentido de no frustrar con la aprobación de una
norma la impunidad de ciertas conductas en la red) que permite distinguir
sendas habilitaciones legales, con sus diferencias de ámbito y régimen: la de la
Ley 25/2007 y la del art. 65.5 del RD 424/2005.
Obviamente cada postura tiene detrás una filosofía: la segunda pretende evitar
las posibles impunidades que ésta situación pueda generar; La primera reforzar
las garantías de un derecho fundamental, no sé si de forma desmesurada.
Quizá sea posible encontrar el equilibrio. No obstante, teniendo en cuenta la
situación posterior al citado acuerdo del pleno no jurisdiccional del TS, si se
pretende sostener esta segunda opinión en condiciones de seguridad jurídica
quizá una posible solución de lege ferenda sea modificar la Ley 25/2007
ampliando a más supuestos. Esta oportunidad se ha perdido pero fue la opinión
que sostuvo el informe del consejo fiscal anteproyecto de Ley de Economía
Sostenible y anteproyecto de Ley Orgánica complementaria de la misma.
Dichas consideraciones, pensadas desde la Ley de Economía Sostenible para
supuestos de propiedad intelectual, podrían ser válidas para supuestos de
fraude online.
La posición que mantenía el informe al respecto era – en síntesis – la siguiente:
Dado que en la redacción del apartado 2 del artículo 8 del Anteproyecto se
hace referencia a “identificar al responsable del servicio que está realizando la
conducta presuntamente vulneradora”, deberá tenerse en cuenta que en
algunos supuestos, por la propia mecánica que en la realidad se utiliza para la
obtención y prestación de los servicios (ej. registro de titulares de nombres de
dominio de páginas Web ficticios o imaginarios), puede resultar necesario que
los proveedores de los servicios faciliten más datos que los de la mera
identificación de quien formalmente aparece registrado como titular.
En esos supuestos en los que pudiera resultar necesario requerir de los
prestadores de servicios la facilitación de más datos que los relativos al titular
formalmente registrado, debe tenerse en cuenta que ello puede estar en
contradicción con lo establecido en la Ley 25/2007 de conservación de datos
relativos a las comunicaciones electrónicas que exige autorización judicial
previa para la facilitación de todos los datos que constituyen el objeto de la
misma.
Efectivamente en el artículo 6.1 de la Ley 25/2007 se establece: “Los datos
conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser
cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y
previa autorización judicial.
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 10 de
12
Es por esto, que en orden a tratar de evitar las posibles contradicciones
mencionadas, y poder proporcionar a la Comisión de Propiedad Intelectual
cobertura legal, en los casos en que se precise obtener datos de identificación
que exceden de los de la titularidad formal registrada, creemos oportuno poner
de manifiesto la conveniencia de valorar una modificación de la Ley 25/2007.
La redacción de esta Ley ha planteado entre los operadores jurídicos algunos
problemas interpretativos relacionados con la inclusión en su artículo 3 de
datos de identidad de los usuarios o abonados de los distintos tipos de
comunicaciones electrónicas, incluido Internet, cuya facilitación es también
sometida a autorización judicial previa conforme a lo previsto en el artículo 6.1
anteriormente mencionado.
La modificación que se sugiere se corresponde con la posibilidad de que no
sea necesario el requisito de autorización judicial previa exigido por la Ley
25/2007, respecto de los datos relativos estricta y exclusivamente a la identidad
de abonados o usuarios de las comunicaciones electrónicas, que no estén
amparados por el derecho fundamental al secreto de comunicaciones del
artículo 18.3 de la CE, sino por el derecho de intimidad del artículo 18.1 que
está sometido al requisito de previsión legal.
La previsión legal para la obtención de datos personales que se encuentran
amparados por el derecho de intimidad se producirá de acuerdo con la doctrina
jurisprudencial al respecto, valorando la proporcionalidad de la medida de
intromisión en el derecho de intimidad en relación con los intereses que se
quiere proteger y las funciones asignadas a las autoridades a las que se faculta
para su obtención.
La posible modificación de la Ley 25/2007 que se propone podría
materializarse incorporando un nuevo apartado 3 al artículo 6 de la Ley
25/2007, en el que se establezca que no es necesaria la autorización judicial
previa para la facilitación de datos de simple identidad de los abonados o
usuarios del servicio a las autoridades o entidades que se mencionan en el
artículo 11.2 d) la Ley Orgánica 15/1999,de 13 diciembre, de Protección de
Datos de Carácter Personal, añadiendo además de los facultados en dicho
precepto vigente a la Sección Segunda de la Comisión de Propiedad Intelectual.
Conforme al artículo 11.2 d) de la Ley de Protección de Datos no es necesario
para ceder los datos personales el consentimiento del interesado:
“[…]
d) Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.”
Acababa aclarando algo lógico: “En cualquier caso, lo que en ningún supuesto
puede recabar la Comisión, ni puede ser proporcionado por los prestadores de
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 11 de
12
servicios de la sociedad de la información son informaciones referidas a
comunicaciones privadas que puedan afectar al derecho fundamental al
secreto de las comunicaciones, que requieren ineludiblemente autorización
judicial expresa en un marco penal”. Y para que este extremo quedase
debidamente precisado se estimaba adecuado añadir al final del nuevo
apartado 2 del artículo 8 de la Ley 34/2002 lo siguiente:
“Los prestadores de servicios estarán obligados a suministrar los datos de que
dispongan salvo que afecten a derecho fundamental al secreto de las
comunicaciones”.
Pero la Ley de Economía Sostenible lejos de haber adoptado esta postura no
sólo no ha aceptado las modificaciones indicadas sino que en este último punto
y en su Disposición Final Cuadragésima Tercera, que modifica la Ley 34/2002,
de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio
Electrónico (apartado Dos) dispone que:
“Se introduce un nuevo apartado segundo del artículo 8 de la Ley 34/2002, de
11 de julio, de Servicios de la Sociedad de la Información y de Comercio
Electrónico, con renumeración correlativa de los actuales 2, 3, 4 y 5: "2. Los
órganos competentes para la adopción de las medidas a que se refiere el
apartado anterior, con el objeto de identificar al responsable del servicio de la
sociedad de la información que está realizando la conducta presuntamente
vulneradora, podrán requerir a los prestadores de servicios de la sociedad de la
información la cesión de los datos que permitan tal identificación a fin de que
pueda comparecer en el procedimiento. Tal requerimiento exigirá la previa
autorización judicial de acuerdo con lo previsto en el apartado primero del
artículo 122 bis de la Ley reguladora de la Jurisdicción contenciosoadministrativa. Una vez obtenida la autorización, los prestadores estarán
obligados a facilitar los datos necesarios para llevar a cabo la identificación."
expansió[email protected]
http://www.gesdatos.com
902.900.231
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
Delegación Comercial Madrid.
Paseo de la Castellana 153, bajo.
CP. 28.046, Madrid
Página 12 de
12
Descargar