El 25 de mayo de 2016 entró en vigor el Reglamento Europeo de Protección de Datos publicado el día 27 de abril de 2016 en el Boletín Oficial de la Unión Europea. El artículo 99 del mencionado texto, establecía un periodo de adaptación al mismo de dos años, de manera que el pasado 25 de mayo de 2018 comenzó a ser obligatorio. Carmen López, explica en este artículo qué supone para los usuarios la aplicación de esta Norma europea.
Con el nuevo Reglamento General de Protección de Datos (en adelante RGPD) del Parlamento y del Consejo Europeo se pretende dar una respuesta suficiente y armonizadora a las legislaciones de los países europeos respecto de la protección de datos, que tan rápido ha evolucionado con la enorme expansión de internet.
A consecuencia de ello, en las últimas semanas todos hemos recibido muchos emails solicitando que prorroguemos el permiso que dimos en su día a distintas webs para tratar nuestros datos o informándonos del cambio de política de privacidad.
Una vez más, nos ha pillado el toro, dado que el RGPD daba un plazo de dos años para su adaptación que se ha convertido en un mes de emails de idéntico contenido recibidos cada día. Pero la cosa no queda ahí, dado que se ha pasado por alto en este país que a día de hoy, tenemos una Ley sobre conservación de datos relativos a comunicaciones electrónicas que no es legal según el Derecho Europeo.
Esta Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones se dictó en su momento para trasponer la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones.
Esta Directiva estableció que los proveedores de este tipo de comunicaciones deberán conservar los datos de tráfico y localización de las mismas por un periodo determinado, y todo ello con la finalidad de prevenir y detectar delitos, investigarlos y enjuiciarlos, así como para preservar la seguridad nacional. Se dictó después de los atentados en Madrid el 11 de marzo de 2004 y en Londres el 7 de julio de 2005, en los cuales los móviles utilizados por los terroristas resultaron ser claves para la investigación de los mismos.
Aquellos que en su momento tuvieran tarjeta de prepago en el teléfono móvil, se acordarán de que al principio para obtener alguna de estas, no había que proporcionar dato alguno, y que al cambiar la Ley hicieron identificarse a todos los usuarios de este tipo de sistema prepago. Pues ello es consecuencia de esta Directiva y su trasposición al ordenamiento jurídico español mediante la Ley 25/2007.
En virtud de la Directiva y de la Ley mencionadas, los operadores están obligados a conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas durante 12 meses desde su comunicación, prorrogables según circunstancias. Debe aclararse que no se conserva el contenido de las comunicaciones en sí, sino cuestiones como el momento en el que se realizaron, los titulares de las terminales desde las que se hicieron, o los abonados de los correos electrónicos si se trata de emails. Esos datos solamente podrían ser cedidos previa autorización judicial a las autoridades competentes en el seno de una investigación.
En principio puede parecer que nuestra intimidad queda preservada dado que lo que se registra es lo que rodea a dicha comunicación, pero no debemos olvidar que la hora en la que se hace la comunicación, la frecuencia de la misma o la localización del terminal desde el que se hace, son datos que una vez cruzados pueden permitir extraer conclusiones muy precisas sobre la vida privada del abonado o usuario que realiza las mismas, y así lo viene considerando el TJUE desde hace tiempo. Debe señalarse que ya en el 2008, el TJUE en la Sentencia de 29 de enero de 2008, conocida como Sentencia Promusicae, ya manifestó que recabar una dirección IP era un tratamiento de datos personales, dejando claro que los datos asociados a nuestras comunicaciones electrónicas tenían que ser protegidos como tales.
Con una Directiva más bien amplia y que no concretaba el alcance de la retención de dichos datos, se dictó en nuestro país la Ley 25/2007, la cual en 10 artículos traspuso la mencionada Directiva con la misma falta de límites, y por lo tanto la misma injerencia en nuestros derechos. La diferencia es que mientras esa Directiva quedó anulada con la Sentencia de 2014, nuestra Ley sigue vigente a 2018 y sin que parezca que haya intención de acabar con esta situación.
Y es que el TJUE invalidó Directiva 2006/24/CE mediante la Sentencia del TJUE de 8 de abril de 2014, conocida como la Sentencia Digital Rights. Esta Sentencia determina que la obligación impuesta a los proveedores de conservar durante un determinado periodo datos relativos a la vida privada de una persona y a sus comunicaciones constituye una injerencia en los derechos de los ciudadanos. Pero es más, el acceso a los mismos por parte de las autoridades competentes supone una injerencia adicional a dichos derechos, por lo que se verían doblemente infringidos. Además, la conservación de los datos y su posterior utilización se efectúan sin que se haya avisado de ello al abonado o usuario y de manera indiscriminada, lo cual la Sentencia estipula que puede dar sensación de vigilancia constante, y que en mi opinión claramente es lo que se percibe: el Gran Hermano.
Esto quiere decir que, para esta Sentencia, aunque los datos nunca llegasen a ser cedidos a las autoridades, el mero hecho de su conservación infringe los artículos 7 y 8 de la Carta Europea de Derechos Fundamentales, los cuales versan sobre el respeto de la vida privada y familiar y la protección de datos de carácter personal. Y no debemos olvidar que en virtud del artículo 52 de esta Carta, las limitaciones a los derechos y libertades solamente se pueden producir cuando sean necesarias y respondan a objetivos de interés general.
La Sentencia no pone en duda que en determinadas circunstancias esa recogida de datos es necesaria para que las autoridades puedan investigar un delito o para la preservación de la seguridad nacional, pero el juicio de proporcionalidad obliga a que ese tipo de injerencias sea con límites y bajo circunstancias determinadas. Puede realizarse por un tiempo determinado, o en una zona geográfica concreta o respecto de un grupo de personas, pero la recogida y almacenamiento ilimitado de este tipo de datos supone una gran injerencia a los mencionados derechos.
Por lo tanto, durante estos cuatro años transcurridos entre la Sentencia Digital Rights y la actualidad se ha podido solicitar la cesión de los datos para delitos como las injurias y calumnias por internet desde perfiles anónimos o para delitos contra la propiedad industrial, que si bien no niego que sean diligencias procedentes, se han hecho al amparo de una Ley, la 25/2007, que traspone una Directiva que se considera que atenta contra nuestros derechos y libertades. En esa Ley se especifica la necesidad de previa autorización judicial para la cesión a las autoridades de dichos datos, pero ello se hace atendiendo, digamos, a los hechos, sin diferenciar si el delito es o no grave y sin circunscribir dicha autorización a casos enumerados o específicos.
Aunque con algunas excepciones, la norma general ha sido que los Jueces y Audiencias Provinciales, y hasta el Tribunal Supremo, han continuado aplicando esta Ley, agarrándose a normativas anteriores que no tenían en cuenta la bomba que ha supuesto internet en la forma de comunicarnos. No obstante, en 2016 la Audiencia Provincial de Tarragona elevó cuestión prejudicial al TJUE en relación al acceso a los datos de tráfico de los teléfonos móviles para la investigación de delitos (Asunto C-207/16), centrándose en el concepto de “gravedad de los hechos” para considerar si procede o no este tipo de injerencias sobre nuestros derechos.
El Abogado General ha presentado conclusiones recientemente, el 3 de mayo de 2018, analizando dicho concepto de gravedad, por lo que aún tendremos que esperar para una resolución al respecto del TJUE. Por su parte, se está tramitando a nivel europeo un nuevo Reglamento de Privacidad que se supone tendrá que dar respuesta a esa Directiva anulada, a la vista de que el RGPD nada ha apostillado en lo que respecta a este tipo de datos y a su protección.
Como conclusión, en primer lugar, mencionar que entiendo que el RGPD, como bien indica su nombre, es general, considero que podría haberse incluido algún tipo de referencia a los datos generados a consecuencia de las comunicaciones electrónicas que solventase aunque fuera mínimamente la situación de vacío generada con la anulación de la Directiva.
En segundo lugar, lo que queda claro a todas luces que tenemos una Ley que traspone una norma anulada, por lo que esa misma Ley debe ser modificada, dado que de lo contrario estamos manteniendo con vigencia una normativa que a todas luces es contraria a nuestros derechos fundamentales, aunque a la vista de la dejadez mostrada para la adaptación al nuevo RGPD, estando aún tramitándose la reforma a la Ley Orgánica de Protección de Datos a pesar de que el RGPD es de 2016, tendremos que esperar a que el Reglamento de Privacidad en el que se está trabajando a nivel europeo entre en vigor… para esperar al último momento a su trasposición. Y esa inobservancia de nuestros derechos fundamentales no hay email solicitando el consentimiento que la subsane.
Carmen López Fernández
Abogada del departamento de Civil de Medina Cuadros en Granada
