Читать книгу Investigación tecnológica y derechos fundamentales - Javier Ignacio Zaragoza Tejada - Страница 14

Analizados hasta ahora los distintos tipos de datos informáticos, la posibilidad de conservarlos, acceder a los mismos o hacer posible su incorporación al proceso, exige también de unas consideraciones generales imprescindibles para enfocar con claridad el tema que nos ocupa y facilitar la adecuada interpretación y aplicación de los preceptos procesales que se ocupan de esta materia.

Así, es importante recordar, en primer término, que los datos de cualquier clase obtenidos con ocasión del ejercicio de su actividad por los operadores de comunicaciones o proveedores de servicios de la sociedad de la información se encuentran sometidos en cuanto a su conservación, tratamiento, acceso y/o utilización a unas condiciones muy estrictas en la medida en que un uso irregular de dicha información puede afectar muy seriamente a derechos fundamentales tales como el secreto de las comunicaciones o los derechos a la intimidad y/o a la protección de datos de carácter personal, derechos todos ellos consagrados en el artículo 18 CE. Esencialmente es el apartado 3 del citado artículo de nuestra Norma Fundamental el que ampara el secreto de las comunicaciones –al igual que el artículo 8 del Convenio Europeo de Derechos Humanos y Libertades Fundamentales o el art. 17.1 del Pacto Internacional de Derechos Civiles y Políticos– con el contenido y alcance que se ha ido perfilando con claridad en la constante doctrina tanto del Tribunal Supremo (STS 342/2013 de 14 abril; 864/2015 de 10 diciembre (RJ 2015, 6401) o 575/2014 de 17 julio (RJ 2014, 3804), entre otras muchas) como del Tribunal Constitucional (114/1984 de 29 noviembre; 115/2013 de 9 mayo o 170/2013 de 7 octubre, entre otras) al igual que del Tribunal Europeo de Derechos Humanos (Sentencias 2-VI-1984, caso Malone; 15-XI-1996, caso Diana; 20-VI-2000,caso Foxley entre otras). Pero más allá del ámbito de protección que otorga el derecho a la inviolabilidad de las comunicaciones, la información generada con ocasión de los procesos de comunicación se encuentra también salvaguardada por los derechos fundamentales contemplados en los apartados 1 y 4 del citado precepto constitucional.

El derecho a la protección de datos de carácter personal que se proclama en el artículo 18-44) de nuestra Constitución se ha definido por los autores como el derecho a la libertad informática o a la autodeterminación informativa y es el que corresponde a todos los ciudadanos a conocer la información que sobre ellos mismos se encuentra a disposición de terceros, así como a controlar el uso que se hace de dicha información. Ese mismo derecho se reconoce también a todas las personas en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea y en el artículo 16 apartado 1.º del Tratado de Funcionamiento la Unión ( TFUE). El Tribunal Constitucional español en Sentencias, entre otras 144/1999 de 22 de agosto; 98/2000 de 10 de abril; 115/2000 de 10 de mayo delimita este derecho respecto del proclamado en el art 18.1 de la Norma Fundamental precisando que en tanto el derecho a la intimidad es el derecho a mantener reservadas al conocimiento ajeno determinadas informaciones relativas a la vida personal y familiar, el derecho a la protección de datos garantiza a los ciudadanos el control sobre sus datos personales. De ahí que el objeto de este último sea más amplio que el del derecho a la intimidad pues extiende su protección no solamente a los datos íntimos de la persona sino a cualquier dato de carácter personal, sea o no íntimo, cuyo conocimiento por terceros pueda afectar al ejercicio de los derechos de la persona sean o no fundamentales.

El contenido y alcance de este derecho fundamental se encuentra desarrollado en España por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (en adelante LOPD) y en Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la citada Ley Orgánica. La LOPD define en su artículo 3 como datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables. Por tanto, a estos efectos ha de considerarse como dato de carácter personal cualquiera que identifique a una persona o permita su identificación, pudiendo servir para la definición de su perfil ideológico, racial, económico o de otra índole al igual que para cualquier otra utilidad que constituya una amenaza para el individuo. Precisamente por ello, el derecho fundamental a la protección de datos se concreta en la atribución a su titular de un haz de facultades que le permitan ese control y disposición de sus datos propios frente a actuaciones irregulares por parte de terceros

Por su parte la Directiva 95/46/CE del Parlamento y del Consejo de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de los mismos definía los datos personales en su art. 2 a) como toda información sobre una persona física identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

El nuevo Reglamento sobre Protección de Datos UE 2016/679 de 27 de abril del Parlamento y del Consejo, a cuyas prescripciones se está adaptando actualmente nuestra normativa interna, y que adquirirá plena vigencia el próximo 25 de mayo de 2018, precisa aún más el alcance del concepto, al considerar datos personales, en su art. 4.1) toda información sobre una persona física identificada o identificable (el interesado),indicando a continuación que se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Es éste un derecho fundamental que está siendo objeto de una especial atención por parte de los Estados y de los organismos internacionales, dados los riesgos que para su reconocimiento y pleno ejercicio pueden derivarse del proceso de evolución tecnológica en el que nos vemos inmersos en las últimas décadas. Como bien se recuerda en el Preámbulo del nuevo Reglamento europeo, la rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida e intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial…..Estos avances requieren un marco más sólido y coherente para la protección de datos en la UE respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior.

Esta misma circunstancia está determinando que, actualmente, también este siendo sometido a revisión el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de sus datos de carácter personal, publicado el 28 de enero de 2001 y cuya relevancia e incidencia en esta materia es, sin duda, incuestionable.

Pues bien, a partir de este planteamiento y para hacer efectivo el derecho fundamental que nos ocupa nuestra LOPD establece en su artículo 45) los principios que definen el contenido y alcance de la protección de datos, dejando expresamente constancia de que los datos de carácter personal solo pueden ser objeto de tratamiento y conservación cuando ello resulte imprescindible para la finalidad legitima que se pretende y por el tiempo estrictamente necesario para ello, por lo que han de ser eliminados tan pronto como dejen de ser necesarios a dicha finalidad.6)

En consecuencia, los artículos 14 a 16 de la citada Ley Orgánica reconocen a todos los ciudadanos los derechos de información y acceso (para conocer que datos personales están siendo objeto de tratamiento) así como los derechos de oposición, rectificación y cancelación a efectos de hacer factibles las correcciones oportunas cuando el tratamiento de la información no se ajuste a lo dispuesto en la propia Ley o los datos resulten inexactos o incompletos.

Trasladando estos parámetros básicos sobre protección de datos a la información obtenida con ocasión de la prestación de servicios de comunicación, es de obligada referencia el artículo 41 de la Ley General de Telecomunicaciones 9/2014 de 9 de mayo que establece con carácter general el deber de protección de los datos por parte de los operadores de comunicación en los siguientes términos:

1. Los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, incluidas las redes públicas de comunicaciones que den soporte a dispositivos de identificación y recopilación de datos, deberán adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar la protección de los datos de carácter personal. Dichas medidas incluirán, como mínimo:

a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autorizados por la Ley.

b) La protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos.

c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.

A su vez, el Real Decreto 424/2005 de 15 de abril que aprueba el Reglamento sobre las condiciones de prestación de los servicios de comunicaciones electrónicas, recoge, en su artículo 65 y en referencia específica a los plazos, términos y condiciones de conservación de esa información las siguientes prescripciones:

1. Los operadores deberán eliminar o hacer anónimos los datos de carácter personal sobre el tráfico referidos a una comunicación y relacionados con los usuarios y los abonados que hayan sido tratados y almacenados para establecer una comunicación, en cuanto ya no sean necesarios a los efectos de su transmisión, sin perjuicio de lo dispuesto en los apartados siguientes.

2. Los datos de tráfico que fueran necesarios para realizar la facturación y los pagos de las interconexiones podrán ser tratados únicamente durante el plazo en que pueda impugnarse la factura o exigirse el pago, de conformidad con la legislación aplicable. Transcurrido dicho plazo, los operadores deberán eliminar o hacer anónimos los datos de carácter personal, en los términos del apartado 1.º.

3. Asimismo, los operadores podrán tratar los datos de tráfico con fines de promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido, en la medida y durante el tiempo necesarios para la prestación de tales servicios o su promoción comercial, siempre y cuando el abonado haya dado su consentimiento informado.

Como puede constatarse, este planteamiento engarza perfectamente con los principios de protección de datos establecidos en el artículo 4 de LOPD, antes mencionado a cuyo tenor los datos de carácter personal solo pueden ser recogidos y tratados de acuerdo con las finalidades legitimas para las que se hayan obtenido y deben ser cancelados tan pronto como dejen de servir al fin para el que fueron recogidos. Pero, además los citados preceptos de nuestra legislación interna son tributarios de lo establecido en la Directiva europea antes mencionada 2002/58/CE uno de cuyos principales objetivos es el de impulsar el establecimiento de disposiciones legales, reglamentarias y técnicas con objeto de proteger los derechos y libertades fundamentales de las personas físicas y los intereses legítimos de las personas jurídicas, en particular frente a la creciente capacidad de almacenamiento y tratamiento informático de datos relativos a abonados y usuarios en el sector de las comunicaciones.

Así la citada Directiva prescribe, en su artículo 5.1, que los Estados miembros prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15 7) . El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.

Este precepto se concreta, en lo que a datos de tráfico, se refiere en el artículo 6.º de esa misma Directiva al establecer en su apartado primero que dichos datos cuando sean almacenados o tratados por el proveedor de una red pública de comunicaciones o un servicio de comunicaciones electrónicas disponibles al público deberán ser eliminados o hacerse anónimos cuando ya no sean necesarios a los efectos de la transmisión de una comunicación, con las excepciones y en las condiciones que específicamente se señalan en los siguientes apartados del mismo artículo 6.º, es decir las referidas a la conservación a efectos de facturación o de promoción comercial o prestación de sus servicios8).

A partir de este planteamiento y, en consecuencia, del entendimiento de que, en líneas generales y con las excepciones que estamos analizando, los datos de carácter personal únicamente pueden ser tratados o almacenados por terceros cuando ello resulte imprescindible para la finalidad que ha justificado su obtención/recopilación y en tanto subsista dicha finalidad, es como hemos de enfocar el análisis que abordamos acerca de las posibilidades legales de conservación de datos relacionados con las comunicaciones electrónicas y también sobre los requisitos que, en su caso, han de observarse para ello y las condiciones en que los datos así conservados pueden ser incorporados al proceso penal.