INTECO_01 Privacidad y secreto en las telecomunicaciones

  • 217 views
Uploaded on

INTECO_01 Privacidad y secreto en las telecomunicaciones

INTECO_01 Privacidad y secreto en las telecomunicaciones

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
217
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Guías LegalesPRIVACIDAD Y SECRETO EN LAS TELECOMUNICACIONESOBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN Área Jurídica de la Seguridad y las TIC
  • 2. Instituto Nacional de Tecnologías de la ComunicaciónEl secreto de las telecomunicaciones yla protección de datosEl derecho a la intimidad y al secreto de las comunicaciones queda protegidoexpresamente por el art.18 de la Constitución Española de 1978.Es innegable la relación existente entre la protección de datos de carácter personalde los ciudadanos, el derecho al secreto de las telecomunicaciones y a la intimidaddispuesto en el art. 18.3 de la Constitución Española de 1978, en el que se estableceexpresamente que “…Se garantiza el secreto de las comunicaciones y, en especial,de las postales, telegráficas y telefónicas, salvo resolución judicial…”A pesar de no indicarse expresamente, las comunicaciones que se realizan a travésde medios electrónicos se encuentran protegidas por este precepto, ya que laenumeración es meramente enunciativa.El derecho al secreto de las telecomunicaciones,como cualquier otro, podrá verse limitado en La intimidad y elmomentos determinados, tal y como indica el art. 8 secreto de lasdel Convenio Europeo de Derechos Humanos 1 .De igual forma la existencia de un verdadero comunicacionesderecho fundamental es igualmente apreciada por la es un derechopráctica totalidad de la doctrina, así como por lapropia jurisprudencia del Tribunal Constitucional fundamental.Español (TC).A continuación se indican cuáles son los requisitos que la normativa ha establecidoen relación a la posibilidad de imponer, conforme a la legislación vigente, límites aestos derechos de los ciudadanos: • La necesidad de una Ley para restringir o limitar un derecho fundamental como el del secreto de las comunicaciones es un requisito aceptado unánimemente, tanto por la doctrina, como por el propio Tribunal Constitucional Español2. Esta exigencia supone el cumplimiento del principio democrático por el que cualquier límite a un derecho fundamental debe ser aprobado por los representantes de la soberanía popular (el Parlamento), lo que garantiza la seguridad jurídica de los ciudadanos.1 Firmado en Roma el 4 de noviembre de 1950 y ratificado por España el 26 de septiembre de 1979.2 La STC 49/1999, de 5 abril indica “...Por mandato expreso de la Constitución Española toda injerencia estatal en elámbito de los derechos fundamentales y libertades públicas, que incida directamente sobre el desarrollo (artículo81.1 de la Constitución Española), o limite o condicione su ejercicio, precisa de una habilitación legal. 2
  • 3. Instituto Nacional de Tecnologías de la Comunicación En el caso del secreto de las telecomunicaciones, será la Ley de Enjuiciamiento Criminal (en adelante, LECrim), y más concretamente su art. 579 la encargada de regular la forma en que podrán ser intervenidas las comunicaciones de un ciudadano. Igualmente, es de aplicación la Ley Orgánica 2/2002 de 6 de mayo reguladora del control judicial previo del Centro Nacional de Inteligencia (C.N.I) que restringe la intervención de las comunicaciones por parte de este organismo.• El segundo de los requisitos es la necesidad y proporcionalidad de las medidas adoptadas respecto a los hechos que motivaron su puesta en práctica. Las medidas restrictivas deben estar justificadas de forma que quede patente que son necesarias y adecuadas al fin para el que han sido concebidas, teniéndose en cuenta que tan solo estarán justificadas en el caso de existir un interés público, que se realicen para la defensa, seguridad o bienestar económico del Estado así como para la persecución de delitos. Es preciso que la necesidad, En materia de telecomunicaciones, hay que atender a lo previsto por la Ley oportunidad y 32/2003 General de proporcionalidad Telecomunicaciones (LGT). Concretamente, el art. 3 de la LGT condicionen la establece como una de sus finalidades intervención de las básicas garantizar “…la protección de comunicaciones. los datos personales y al secreto en las comunicaciones…” regulando en su capitulo III título III, y más particularmente en su art. 35, los requisitos que deberán tenerse en cuenta a la hora de realizar la intervención de las comunicaciones. Particularmente la ley establece los siguientes requisitos: 1. La Administración de las telecomunicaciones deberá diseñar y establecer sus sistemas técnicos de interceptación de señales en forma tal que se reduzca al mínimo el riesgo de afectar a los contenidos de las comunicaciones (art. 35.1.a). 2. Cuando, como consecuencia de las interceptaciones técnicas efectuadas, quede constancia de los contenidos, los soportes en los que éstos aparezcan no podrán ser ni almacenados ni divulgados y serán inmediatamente destruidos. (art 35.1.b). 3. Las mismas reglas se aplicarán para la vigilancia del adecuado empleo de las redes y la correcta prestación de los servicios de comunicaciones electrónica (art 35.2). 3
  • 4. Instituto Nacional de Tecnologías de la Comunicación Lo establecido en este artículo se entiende sin perjuicio de las facultades que a la Administración atribuye el artículo 43.2 3 de este mismo cuerpo legal. (art. 35.3). Asimismo, se ha de analizar lo relativo a la protección de datos en las telecomunicaciones y lo dispuesto en el art. 18.1 de la Constitución Española de 1978 (CE), donde se afirma que “…Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen...” Por su parte, el art. 18.4 de la Constitución Española de 1978 dispone que “…la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos…” Este ultimo precepto posibilita el encumbramiento de un autentico derecho fundamental a la protección de datos, claramente diferenciado del haz general de protección otorgado por el art. 18.1 de la CE. En este sentido se ha decantado la jurisprudencia del Tribunal Constitucional español, quien ha defendido 4 la existencia independiente de un auténtico derecho a la protección de datos de carácter personal, que no solo afecta a los datos de carácter intimo de los individuos, sino a cualquiera “… cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales…”Legislación aplicable en el ámbito delsecreto de las comunicaciones.A continuación se realiza una breve referencia sobre la legislación aplicable alsecreto de las comunicaciones, la retención de datos y la protección de datos decarácter personal. Este análisis se realiza desde el punto de vista europeo ynacional. • A nivel europeo, toda la materia relativa a la protección de datos se encuentra regulada por la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos3 La administración, gestión, planificación y control del Espectro Radioeléctrico incluyen, entre otras funciones, laelaboración y aprobación de los planes generales de utilización, el establecimiento de las condiciones para elotorgamiento del derecho a su uso, la atribución de ese derecho y la comprobación técnica de las emisionesradioeléctricas. Asimismo, se integra dentro de la administración, gestión, planificación y control del referido espectrola inspección, detección, localización, identificación y eliminación de las interferencias perjudiciales, irregularidades yperturbaciones en los sistemas de telecomunicaciones, iniciándose, en su caso, el oportuno procedimientosancionador.4 STC 292/1000, de 30 de Noviembre, STC 254/1993. 4
  • 5. Instituto Nacional de Tecnologías de la Comunicación datos. Esta directiva fue la primera norma de carácter genérico promulgada en materia de protección de datos de los ciudadanos europeos. Esta primera fuente normativa no contaba, sin embargo, con medidas especificas orientadas a regular y controlar todos los riesgos y peligros que el nacimiento de una sociedad basada en los medios digitales suponía para la protección de datos. Con este motivo se dispuso la elaboración de una norma que contara con las medidas adecuadas a esta nueva realidad, dirigida a proteger los datos y la intimidad de los ciudadanos en el sector de las telecomunicaciones. Esta regulación se cristalizaría en la aparición de la Directiva 97/66/CE, del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. Esta Directiva complementa a la 95/46/CE en lo que se refiere a las disposiciones técnicas y jurídicas específicas para el ámbito de las telecomunicaciones. Por su parte, la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, más conocida como “Directiva sobre la privacidad y las comunicaciones electrónicas”, tiene por objetivo armonizar las disposiciones de los estados miembros para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, de: a. El derecho a la intimidad en lo que respecta a las telecomunicaciones. b. La protección de datos personales en el sector de las telecomunicaciones. c. La libre circulación de los datos personales en la Unión Europea. Por último, se debe hacer referencia a la Directiva 2006/24/CE del Parlamento Europeo y del Consejote 15 de marzo de 2006 sobre conservación de datos de tráfico en las comunicaciones electrónicas. Esta norma nace con el objetivo claro de poner a disposición de los estados miembros de la Unión Europea una herramienta más con la que poder luchar eficazmente contra el terrorismo y el crimen organizado, en los que la retención y conservación de datos adoptan un papel relevante.• En el ámbito nacional, la legislación a tener en cuenta es la siguiente: 5
  • 6. Instituto Nacional de Tecnologías de la Comunicación En el ámbito constitucional se ha de tener presente lo dispuesto en el art. 18 de la CE, que establece la naturaleza y alcance de la protección que el derecho a la intimidad otorga a los ciudadanos, así como la Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar, y a la Propia Imagen. Igualmente, hay que tener en cuenta lo dispuesto en la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, y lo referido en la Ley 34/2003 General de Telecomunicaciones, que establecen el régimen aplicable a las consideradas comunicaciones por vía electrónica, así como las disposiciones pertinentes en materia de Protección de Datos de Carácter Personal que establecen la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y el Reglamento de Medidas de Seguridad (RMS). Por último, las posibles responsabilidades derivadas de la vulneración de la intimidad de los ciudadanos, así como las estipuladas en la normativa antes mencionada, se regulan de acuerdo a lo establecido por la Ley Orgánica 1/1995 del Código Penal. Todo ello proporciona una visión de la legislación aplicable a nivel nacional para abordar el análisis de la privacidad y el secreto en las telecomunicaciones.La retención de datos de carácterpersonalLos últimos años del siglo XX y el comienzo del siglo XXI han sido testigos de unaumento muy importante de las medidas de control y fiscalización de los medios decomunicación, particularmente desde los trágicos acontecimientos del 11 deseptiembre de 2001 en la ciudad de Nueva York, del 11 de Marzo de 2004 en Madridy del 7 de Julio de 2005 en Londres.Este crecimiento exponencial experimentado por las medidas de seguridad yvigilancia en casi todos los aspectos de la vida, han supuesto en muchas ocasionesinterferencias en la intimidad y en la vida privada de los ciudadanos. Resulta evidenteque en una sociedad fundamentada en los avances técnicos y lastelecomunicaciones, este hecho tiene un peso muy específico en estas materias.Una de las consecuencias directas de una mayor restricción de las libertades incideen lo que se conoce genéricamente como “la retención de datos en el ámbito de las 6
  • 7. Instituto Nacional de Tecnologías de la Comunicacióntelecomunicaciones”, que obliga a los prestadores de servicios a almacenar ciertosdatos relativos a cómo y cuándo se han producido las comunicaciones 5 .Directiva 2006/24/CEEl impulso comunitario a este tipo de políticasviene dado por la Directiva 24/2006/CEsobre conservación de tráfico de lascomunicaciones electrónicas, que impone alos proveedores de estos servicios ciertasobligaciones. Concretamente, retener yconservar durante un tiempo determinado losdatos relativos al origen; destino; fecha; horade inicio y de fin; tipo de comunicaciónrealizada; equipo utilizado y los datos degeolocalización de la comunicación.Esta normativa pone de relieve tres tipos de sujetos con intereses contrapuestos enmayor o menor medida: 1. Por una parte las autoridades, interesadas en proteger y velar por la seguridad de los ciudadanos, para lo cual necesitan albergar la mayor cantidad de datos durante el mayor plazo de tiempo posible, para llevar a cabo las tareas de control y prevención de delitos graves, especialmente de terrorismo. 2. Por otra parte los proveedores de servicios, que abogan porque los datos sean almacenados durante el menor tiempo posible y les sean reembolsados los costes en que incurran por el cumplimiento de estas obligaciones legales. 3. Por ultimo los ciudadanos, quienes pretenden que la retención de datos afecte al menor número posible de los mismos y que en ningún caso se intervenga el contenido de las comunicaciones que llevan a cabo a través del teléfono, Internet y el correo electrónico, etc.5 Los conocidos como datos de tráfico y localización. 7
  • 8. Instituto Nacional de Tecnologías de la ComunicaciónAntes de su aprobación, organismos como el Grupo del art.29.6 , el ComitéEconómico y Social Europeo (CESE), el Supervisor Europeo de Protección deDatos 7 (SEPD) y el propio Parlamento Europeo manifestaron su intranquilidad yreservas frente a la naturaleza y medios previstos por la Directiva para lograr losfines establecidos en la exposición de motivos. Estas dudas se relacionanbásicamente con la utilidad y proporcionalidad de los medios utilizados, así como lafalta de detalle sobre ciertos aspectos, tales como la forma de destrucción de losdatos (una vez superado el plazo de tiempo de conservación), la seguridad durantela conservación, las finalidades para las que se podrán emplear, etc.El impacto de este tipo de normativa en los derechos fundamentales (intimidad yprotección de datos) es elevado, de ahí que se planteen dudas respecto a suconstitucionalidad y conformidad con las normas básicas de la Unión Europea.Proyecto de Ley de Conservación de Datos 8La Directiva 24/2006 ha sido objeto detransposición a la normativa española medianteel actual Proyecto para la futura ley deconservación de datos relativos a lascomunicaciones electrónicas y a las redespúblicas de comunicaciones.La exposición de motivos de la ley justifica suexistencia en la obligación de trasponer laDirectiva y en el hecho de que los avances6 El denominado "Grupo del Art.29" nace con el objetivo de hacer desaparecer los obstáculos que impiden la librecirculación de los datos personales dentro de la Unión Europea, ya que esto es necesario para el establecimiento yfuncionamiento del mercado interior. La Directiva de Protección de Datos 95/46/CE se aprueba con este último fin, ytiene como objetivos, por un lado, asegurar la protección en la Comunidad de los derechos de los particulares enrelación con el tratamiento de sus datos personales y, por otro, armonizar los niveles de protección en los Estadosmiembros.Dentro de las medidas adoptadas para lograr estos objetivos, en su artículo 29, dispone la creación de un Grupo detrabajo, como órgano consultivo independiente, integrado por representantes de las autoridades de protección dedatos de la UE y la Comisión Europea. La Agencia Española de Protección de Datos (AEPD) forma parte del mismodesde su inicio, en febrero de 1997. Se reúne con periodicidad bimensual, habiendo aprobado hasta ahora casi uncentenar de documentos, en forma de Decisiones, Dictámenes, Documentos de Trabajo, Informes oRecomendaciones sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.7 Este organismo fue creado en 2001 de conformidad con el artículo 286 del Tratado de la Comunidad Europea. ytiene por objeto garantizar que instituciones y organismos de la Unión Europea respeten los derechos de laspersonas a la intimidad y a la protección de sus datos personales.El SEPD gestiona la recogida, el registro, la organización y el almacenamiento de la información, recuperándola parala consulta, enviándola o colocándola a disposición de otros, así como bloqueando, borrando o destruyendo datos.8 Información obtenida del Proyecto de Ley de Conservación de datos relativos a las comunicaciones electrónicas,redes electrónicas y redes públicas de comunicaciones. 8
  • 9. Instituto Nacional de Tecnologías de la Comunicacióntecnológicos pueden ser utilizados por redes de delincuencia organizada,bandas terroristas o delincuentes individuales como medio de comisión de susdelitos, por lo que debe establecerse una serie de medidas en aras de proteger laseguridad pública, siempre con pleno respeto a los derechos individuales de laspersonas físicas.El proyecto de ley propone en sus diez artículos la posibilidad de retener los datos detráfico y localización de determinadas comunicaciones electrónicas.El Capítulo I, que recoge los tres primeros artículos, regula el objeto de la norma,estableciendo la obligación de conservar determinados datos de las comunicacionesque realicen sus clientes, por parte de los operadores que presten servicios decomunicaciones electrónicas disponibles al público, o que exploten una red de lasespecificadas en el artículo tres de la ley.El Capítulo II, incorpora los artículos 4 a 7 de la ley. En ellos se establecen los límitespara que los datos recogidos sean cedidos a los agentes de la autoridad facultados,los medios para evitar cualquier usoilegitimo de los datos conservados, Operadores deasí como los plazos legales deconservación de éstos. telecomunicaciones y prestadores deEl Capítulo III, establece por su parteel régimen sancionador al que servicios de laquedan sujetos los obligados, así Sociedad de lacomo las responsabilidades Información, estánderivadas de los eventualesincumplimientos por parte de los obligados a retener losagentes facultados. datos.Por último, la norma prevé una modificación de la Ley General deTelecomunicaciones para adaptarla al nuevo orden normativo.Sujetos intervinientesEl art. 2 del Proyecto de Ley de Conservación de Datos (PLCD) establece que lossujetos obligados a cumplir con las obligaciones impuestas en la ley son losoperadores que presten servicios de comunicaciones electrónicas disponiblesal público o que exploten redes públicas de comunicaciones, en los términosque estipule la Ley 32/2003, General de Telecomunicaciones.Dentro de este concepto se incluyen: a. Operadores de Telecomunicaciones. 9
  • 10. Instituto Nacional de Tecnologías de la Comunicación b. Prestadores de Servicios de Internet (ISP´s)Los otros sujetos intervinientes son, por un lado los usuarios de los servicios, lasautoridades nacionales y, por otro lado, los denominados por el proyecto de leycomo “agentes facultados” 9 .Datos objeto de retenciónRespecto a los datos objeto de retención, el artículo 3 10 del Proyecto de Ley deConservación de Datos (PLCD), obliga a los sujetos indicados en el artículo dos a9 Es decir, las Fuerzas y Cuerpos de Seguridad del Estado cuando desempeñen funciones de policía judicialentendida en los términos del art. 547 de la Ley Orgánica 6/1985 del Poder Judicial, el personal del Centro Nacionalde Inteligencia (CNI) en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con loprevisto en la Ley 11/2002 de 6 de mayo reguladora del Centro Nacional de Inteligencia y con la Ley orgánica 2/2002de 6 de Mayo reguladora del control judicial previo del Centro Nacional de Inteligencia, así como los funcionarios dela Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdocon el apartado 1 del articulo 283 de la Ley de Enjuiciamiento Criminal.10 1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta ley, son lossiguientes:a) Datos necesarios para rastrear e identificar el origen de una comunicación:1.º Con respecto a la telefonía de red fija y a la telefonía móvil:i) Número de teléfono de llamada.ii) Nombre y dirección del abonado o usuario registrado.2.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:i) La identificación de usuario asignada.ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública detelefonía.iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de lacomunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.b) Datos necesarios para identificar el destino de una comunicación:1.º Con respecto a la telefonía de red fija y a la telefonía móvil:i) El número o números marcados (el número o números de teléfono de destino), y en aquellos casos en queintervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que setransfieren las llamadas.ii) Los nombres y las direcciones de los abonados o usuarios registrados.2.º Con respecto al correo electrónico por Internet y la telefonía por Interneti) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónicapor Internet.ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario dela comunicación.c) Datos necesarios para determinar la fecha, hora y duración de una comunicación:1.º Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación.2.º Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en undeterminado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por elproveedor de acceso a Internet a una comunicación, así como la identificación de usuario o del abonado o delusuario registrado.ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio detelefonía por Internet, basadas en un determinado huso horario.d) Datos necesarios para identificar el tipo de comunicación.1.º Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado.2.º Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado.e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo decomunicación:1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino.2.° Con respecto a la telefonía móvil:i) Los números de teléfono de origen y destino.ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada.iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada.iv) La IMSI de la parte que recibe la llamada. 10
  • 11. Instituto Nacional de Tecnologías de la Comunicaciónalmacenar una serie de datos, sobre las comunicaciones, bien sean a través de lared de telefonía fija, móvil, servicios de acceso a Internet o servicios de correoelectrónico o de telefonía IP. Concretamente, los datos a retener serían: a. Datos necesarios para rastrear e identificar el origen de una comunicación. b. Datos necesarios para identificar el destino de una comunicación. c. Datos necesarios para determinar la fecha, hora y duración de una comunicación. d. Datos necesarios para identificar el tipo de comunicación. e. Datos necesarios para identificar el equipo de comunicación de los usuarios. f. Datos necesarios para identificar la localización del equipo de comunicación móvil. g. Datos relativos a llamadas infructuosas.Para cada una de las categorías antes mencionadas, el propio proyecto de leyestablece cuales serán los datos que hay que retener. En ningún caso podráalmacenarse o recogerse cualquier dato que permita conocer el contenido deuna comunicación, ya que en ese caso se vulneraría plenamente el derecho a laintimidad de las personas 11 .Tratamiento de datos y persecución de delitosEl Proyecto de Ley de Retención de Datos nacecomo respuesta a “…la preocupación generalizadade los poderes públicos de velar por la seguridad delos ciudadanos, pues resulta evidente que elcrecimiento de las posibilidades de lasv) La IMEI de la parte que recibe la llamada.vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fechay hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que sehaya activado el servicio.3.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:i) El número de teléfono de origen en caso de acceso mediante marcado de números.ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.f) Datos necesarios para identificar la localización del equipo de comunicación móvil:1.º La etiqueta de localización (identificador de celda) al inicio de la comunicación.2.º Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta delocalización, durante el período en el que se conservan los datos de las comunicaciones.2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta ley.11 Salvo en caso de contar con previa habilitación judicial. 11
  • 12. Instituto Nacional de Tecnologías de la Comunicacióncomunicaciones electrónicas constituye una herramienta valiosa en la prevención,investigación, detección y enjuiciamiento de delitos, en especial, contra ladelincuencia organizada 12 .”El Proyecto de Ley, utiliza sin embargo un rango de aplicación más amplio que elprevisto por la propia Directiva 24/2006, que se refiere de forma expresa a que losdatos solo podrán ser cedidos para la investigación y persecución de delitos graves.El legislador español ha optado por habilitar la posibilidad de ceder los datosretenidos para investigar y perseguir cualquier clase de delito, justificando estehecho en que la decisión se adopta cumpliendo en todo caso con la configuraciónconstitucional del derecho al secreto de las comunicaciones y en que es imposibleconocer a priori si un delito es grave o no.Los datos objeto de retención podrán ser cedidos a los “agentes facultados”regulados en el artículo 6 del proyecto de ley, siempre que se cumplan losrequisitos estipulados en el artículo 7 de la norma.En caso de que sea necesario ceder los datos a las autoridades será indispensablecontar con la pertinente resolución judicial, que valorará y definirá, de formafundamentada de acuerdo a los principios de necesidad y proporcionalidad, quédatos tienen que ser cedidos para cumplir la sentencia judicial.Medidas futurasEl artículo 12 de la Directiva 24/2006/CE es quizás el artículo que ha supuesto máscontroversias y debates a nivel comunitario.En este sentido, prevé la posibilidad de que cualquiera de los estados miembros, ysiempre que las circunstancias especiales lo justifiquen, tendrá la potestad deampliar el plazo de conservación genérico, que nunca podrá ser menor a seismeses ni mayor a dos años, según lo dispuesto en el art. 6 de la Directiva.El Estado que tome la decisión de ampliar el plazo, deberá comunicarlo debidamentea la Comisión y a los demás estados miembros, de manera que la Comisiónaprobará o no la medida propuesta por el Estado en el plazo máximo de 6 meses,entendiéndose aprobada en caso de que no haga ninguna comunicación (se aplica lafigura del silencio administrativo positivo).12 Extracto de la memoria Justificativa del Ministerio de Justicia sobre la Necesidad y Oportunidad del Anteproyectode Ley de Conservación de Datos relativos a las comunicaciones electrónicas y a las redes electrónicas y redespúblicas de comunicaciones. 12
  • 13. Instituto Nacional de Tecnologías de la ComunicaciónDado que se entienden como aceptadas las medidas en el caso de silencio de laComisión, existen dudas de naturaleza interpretativa sobre el momento en que lasdecisiones tomadas por un estado resultan de aplicación. La duda se plantea entorno a dos momentos: el momento en el cual el Estado decide tomar estas medidasy se lo ha comunicado a la Comisión, o en el momento en el que la Comisióncomunica su posición al respecto, aprobando o no la decisión del EstadoLos problemas derivados del contenido de este artículo se extienden a distintosaspectos:Cuando se refiere a “circunstancias especiales”, no especifica la naturaleza,características o ejemplos, con lo que resulta un término demasiado ambiguo quedeja una capacidad de actuación demasiado amplia a los estados miembros.No determina claramente en qué momento el Estado dispone de la potestad paraaplicar las medidas que ha estimado oportunas. Aunque parece ser necesaria laaprobación por la Comisión de las medidas previstas por el estado miembro, esto esdiscutible, ya que, dada la redacción del art. 12.1 se puede llegar a entender que elestado miembro está habilitado para su aplicación desde el primer momento. Así,“…Todo Estado miembro que deba hacer frente a circunstancias especiales quejustifiquen una ampliación limitada del período máximo de conservación recogido enel artículo 6, podrá adoptar las medidas que se impongan…”Las comunicaciones comerciales nodeseadas • La normativa española en materia de telecomunicaciones y, para ser más exactos, la Ley 32/2003, General de Telecomunicaciones modifica en su Disposición Final la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) en sus arts. 21, 22, 38.3.b, 38.4.d y 43.1. Del mismo modo, el artículo 38 de la Ley 32/2003, General de Telecomunicaciones que establece los derechos de los consumidores y los usuarios finales, modifica los derechos y los principios de calidad, consentimiento e información previstos en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), de manera que otorga un sentido mucho más uniforme y lógico a la normativa en materia de protección de datos y conservación de los mismos. • Básicamente la norma que regula en España las comunicaciones comerciales no deseadas (spam) es la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) y la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos en lo que se refiere a comunicaciones 13
  • 14. Instituto Nacional de Tecnologías de la Comunicación comerciales en formato analógico. Las disposiciones contenidas en dicha normativa, fueron modificadas por lo dispuesto en la Ley 32/2003, General de Telecomunicaciones en los términos dispuestos en el apartado anterior. El envío de cualquier comunicación de carácter promocional o publicitario a través de medios electrónicos, sea o no correo electrónico, está taxativamente prohibido por el art. 21 de la LSSI, siempre que: d. No hayan sido autorizadas expresamente por sus receptores. e. No exista entre las partes una relación contractual previa y la comunicación comercial no verse sobre los productos o servicios previamente contratados. En este sentido se dirigen las modificaciones dispuestas por la Ley 32/2003 General de Telecomunicaciones que modifican varios artículos de la Ley 34/2002, estableciéndose que todo envío con fines comerciales o publicitarios requiere del consentimiento de su receptor, salvo que exista una relación contractual previa y el sujeto no manifieste su voluntad en contra de recibir las comunicaciones. En este sentido cabe matizar la reciente decisión de la Audiencia Nacional de revocar la primera sanción que impuso la Agencia Española de Protección de Datos (AEPD) por este motivo. En este caso, la AEPD dictó resolución condenatoria a un empresario que envió trece correos electrónicos a personas de las que había obtenido su dirección de correo electrónico mediante las tarjetas de visita que ellos mismos le entregaron en el transcurso de la feria tecnológica SIMO 13 .Análisis del caso concretoComo se ha citado anteriormente, la primera sanción impuesta por la AgenciaEspañola de Protección de Datos por comunicaciones comerciales no deseadas fueen el año 2005 14 , y ha sido revocada por la Audiencia Nacional a través de unasentencia de 17 de junio de 2007.La sanción fue impuesta por vulneración de lo dispuesto en el art. 21 de la LSSI, esdecir, por entender que los mensajes de correo electrónico remitidos por elempresario constituían comunicaciones comerciales masivas no deseadas y no13 La sentencia completa puede descargarse en http://xribas.typepad.com/xavier_ribas/2007/05/sentencia-tarje.html14 La resolución puede descargarse desde la siguiente URL:https://www.agpd.es/upload%2FCanal_Documentacion%2FResoluciones%2FPS%2F2005%2FPS-00137-2004%20Resoluci%F3n%20de%20fecha%2022-03-2005%20%28Art%EDculo%2021%20LSSI%29%20Recurrida.pdf 14
  • 15. Instituto Nacional de Tecnologías de la Comunicaciónamparadas en una relación contractual previa. En ningún momento el denunciadonegó que los correos enviados, en efecto, tuvieran una finalidad comercial opublicitaria, aunque negó que no existiera consentimiento previo por parte delreceptor.En este caso, teniendo en cuenta en qué contexto fueron entregadas las tarjetas(una feria tecnológica, en la que la entrega de tarjetas es constante y muy usualentre los asistentes), y el hecho de que los correos electrónicos fueron remitidos porparte de una empresa a la que los receptores había proporcionado sus tarjetaspersonales, la Audiencia Nacional ha entendido que: a. La entrega de una tarjeta de visita en ferias, congresos, conferencias, o contextos que tengan un objetivo eminentemente comercial, equivale al consentimiento expreso. b. El consentimiento que se exige por la ley es consentimiento expreso, no escrito. c. Basta como prueba de la prestación del consentimiento con disponer de una tarjeta de visita del destinatario. d. El consentimiento habilita para el envío de la información comercial relativa a los productos y servicios de la empresa o para la información comercial por la que expresamente se hubiera interesado el receptor.Sobre la supuesta falta de consentimiento exigido por el art. 21.1 de la Ley 34/2002de Servicios de la Sociedad de la Información y del Comercio Electrónico, lasentencia establece que, pese a que el consentimiento exigido por el art.3.h de laLey 15/1999 de Protección de Datos de Carácter Personal lo define como unamanifestación de voluntad libre, inequívoca, específica e informada a través de laque la persona consiente el tratamiento de sus datos (en este caso para el envío decomunicaciones comerciales), la entrega delas tarjetas de visita en un ámbitocomercial, como la Feria Internacional de La entrega de unaInformática, Multimedia y tarjeta de contacto enComunicaciones, (SIMO), implica elconsentimiento de estos sujetos para la un contextorecepción de comunicaciones comercial implica elcomerciales. consentimientoEn palabras de la Audiencia Nacional, y tal y expreso para remitircomo se hace referencia en el Fundamento comunicacionesde Derecho Quinto: “…es de reseñar, frentea lo señalado en la resolución recurrida, que comerciales.la entrega por una persona de una tarjeta de visita en la que consta su dirección de 15
  • 16. Instituto Nacional de Tecnologías de la Comunicacióncorreo electrónico, en un contexto como es la feria del SIMO, a la que parapromocionar su producto acudió el denunciado, con el que contactó la personaen cuestión por estar interesada en el mismo, impide que se pueda tener poracreditado a efectos sancionadores la falta del consentimiento. Además, conposterioridad se ha constatado la remisión de un correo electrónico aludiendo a laconversación mantenida en dicha feria, lo que abona la conclusión de que, en el casoconcreto y atendiendo a las circunstancias existentes, existe un consentimientoprevio o autorización expresa, que no es necesario que figure por escrito, para laremisión de una comunicación comercial relacionada con el producto promocionadoen la citada feria…”.Igualmente, el demandado entendía que el envío de 13 correos electrónicos nopodía ser considerado un envío masivo en los terminos dispuesto en el art. 21LSSI, ya que este concepto estaba reservado para comunicaciones comercialesmucho más numerosas e indiscriminadas que las realizadas.El juez, ante la falta de definición que el anexo de la Ley 34/2002 de Servicios de laSociedad de la Información y del Comercio Electrónico hace del concepto masivo,se remite al diccionario de la Real Academia de la Lengua en los siguientes términos”…Según el Diccionario de la Real Academia Española, se define el adjetivo masivode la siguiente forma: "dícese de lo que se aplica en gran cantidad", por lo que eljuez no entiende que éste se produzca en este caso.Privacidad de las comunicaciones.Casos prácticosA continuación se mencionan algunos casos prácticos que ponen de relieve losprocedimientos y condicionantes que hacen vulnerable el secreto en lascomunicaciones de los ciudadanos conforme a la legislación vigente.Escuchas TelefónicasLa realización de escuchas telefónicas supone quebrantar el derecho al secreto delas comunicaciones establecido por el art. 18.3 de la Constitución Española,pudiéndose considerar como una de las injerencias más graves que puedenrealizarse en la vida privada de los ciudadanos. Se debe recordar que nosencontramos ante un verdadero derecho fundamental, que tal y como reconoce la 16
  • 17. Instituto Nacional de Tecnologías de la Comunicaciónabundante jurisprudencia constitucional existente, solamente cede ante unaresolución judicial debidamente motivada que la autorice 15 .Las características y principios inspiradores que otorgan validez jurídica a laintervención en las comunicaciones telefónicas quedan regulados a través de lajurisprudencia 16 . Según el art. 579.2 de la LECrim, exclusivamente un juez será elque pueda, mediante resolución motivada, acordar la intervención de lascomunicaciones con la única finalidad de investigar y probar la comisión de actoscriminales, fundándose siempre en los indicios que existan sobre la comisión dedichos actos y no exclusivamente en meras sospechas.“…Asimismo, el Juez podrá acordar, en resolución motivada, la intervención de lascomunicaciones telefónicas del procesado, si hubiere indicios de obtener por estosmedios el descubrimiento o la comprobación de algún hecho o circunstanciaimportante de la causa 17 …”La intervención de las comunicaciones de cualquier ciudadano debe ser entendidacomo una medida marginal y excepcional, que se utilizará exclusivamente cuandono exista un medio de investigación menos intrusivo para alcanzar el mismo fin. Laintervención de las comunicaciones deberá estar motivada de tal forma que segarantice la proporcionalidad de las medidas tomadas entre el quebranto de laintimidad que supone la intervención y la finalidad de la medida 18 .La resolución motivada exigida por el art.579.2 de la LECrim deberá adoptar la formade auto motivado 19 20 y debe tener un contenido determinado para que laintervención pueda entenderse como ajustada a derecho, tal y como exige elart.248.2 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.El auto debe especificar claramente cuáles son los presuntos delitos que intentanprobarse, no pudiéndose en ningún caso utilizar la intervención telefónica comomedio de búsqueda indiscriminada de hechos delictivos, que además tendrán que15 Ver STS de 9 de diciembre 1996, STS de 4 de marzo 1997 o STS de 11 de mayo 1998, entre otras fuentes.16 Ver STS de 18 de junio de 1992, STS de 25 de junio de 1993, STS de 20 de mayo de 1994, STS de 12 deseptiembre 1994, STS de 20 diciembre de 1996, STS de 2 diciembre de 1997, STS de 4 de julio de 2003, STS de 19de abril de 2004 y STS de 29 de abril de 2004.17 Ver Art.579.2 de la Ley de Enjuiciamiento Criminal.18 Ver STC 7/1994 de 17 de enero, STS de 26 de febrero de 2000. entre otras.19 Por auto motivado se debe entender la resolución cuya argumentación jurídica y fáctica es suficiente parajustificar, en este caso, la intervención de las comunicaciones.20 Ver STC 181/1995. 17
  • 18. Instituto Nacional de Tecnologías de la Comunicaciónser de una determinada entidad, es decir, ha de verificarse la necesidad de probarla presunta comisión de delitos graves 21 .De igual forma, se han de fijar los medios técnicos a utilizar para realizar laintercepción, así como las medidas oportunas para garantizar que éstas seproducen de forma continua y sobre todas las conversaciones durante el períodofijado y sobre los terminales y personas especificados, sin poder eludir, modificar oalterar de forma alguna las conversaciones intervenidas, a fin de garantizarse laimposibilidad de alterar el material probatorio resultante e impedir que éste puedaser declarado nulo como material probatorio ante un juicio 22 .Es importante resaltar que el control judicial no solo afecta al nacimiento ymotivación de la intervención telefónica, sino que acompaña a todo el proceso deintervención desde su nacimiento hasta su finalización 23 , lo cual tiene unarepercusión fundamental en lo que se refiere a la protección de los derechos de losciudadanos afectados por la intervención telefónica 24 .También resulta esencial fijar los agentes encargados de intervenir lascomunicaciones, así como los números y las personas que son objeto deinvestigación.A este respecto, debe aclararse que cuando se habla de intervención de lascomunicaciones telefónicas se debe incluir en estas todos los tipos de telefonía,sea cual sea la tecnología que utilice 25 .Los terminales intervenidos no solo serán los correspondientes a los sujetos antesdesignados, sino cualquier otro que sea utilizado para la comisión de los presuntosdelitos, considerando la jurisprudencia de un modo amplio los terminalessusceptibles de intervención, incluyéndose los terminales situados en espaciospúblicos o en locales abiertos al público 26 .Por tanto deberán incluirse tanto los terminales fijos, como los móviles de laspersonas intervinientes, independientemente de su tecnología, quedando incluidosen este espectro tanto el propio procesado como los inculpados, y por mediación21 Sentencia de la Audiencia Nacional de 31 de marzo de 2006.22 Ver Auto de 18 de Junio de 1992.23 Ver STC 49/1996, STC 121/1998, STC 171/1999.24 Ver STS 26 de febrero de 2000.25 Según el Art.197.1 del Código Penal de 1995, “…o de cualquier otra señal de comunicación, será castigado conlas penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses…”26 Ver la STS de 606/1994, de 18 de marzo, STS 787/1994, de 18 de abril, STS 467/1998, de 3 de abril, entre otras. 18
  • 19. Instituto Nacional de Tecnologías de la Comunicacióndel art. 579.3 de la LECrim, serán igualmente afectadas las personas “sobre lasque existan indicios de responsabilidad criminal”.Por ultimo deberán fijarse los plazos durante los cuales los agentes encargados dela intervención deberán informar de sus pesquisas y de la duración de la medida aljuez.El auto debe establecer un periodo cerrado durante el que se producirá laintervención de las comunicaciones, si bien la LECrim en su art. 579.3 estipula laposibilidad de establecer plazos trimestrales cerrados, pudiéndose prorrogar porplazos iguales, tal y como ha reiterado la jurisprudencia 27 exclusivamente por eltiempo necesario para llevar a buen fin el proceso de investigación, siendo definitivala nueva motivación mediante resolución, sin ser posible remitirse a las causas quemotivaron la intervención inicial 28 .Privacidad en los sistemas de correo web(Webmail).Los últimos años han visto proliferar los servicios de correo web que permiten a losusuarios almacenar su correo electrónico en servidores remotos, con capacidadesque crecen continuamente. Pero, recientemente este servicio ofrecido por una ampliacantidad de empresas, ha sido objeto de diversas polémicas en lo que concierne a lacalidad de su sistema de privacidad y protección de la intimidad de sus clientes.En este sentido, han aparecido algunas noticias en diferentes medios decomunicación que han puesto en tela de juicio estos sistemas. • De un lado, las dudas vienen referidas al tratamiento de la privacidad. Parece ser que algunos de estos servicios utilizan sistemas automatizados que rastrean el contenido de todos los correos electrónicos enviados a través del servicio, con la finalidad de insertar comunicaciones comerciales relacionadas con el mismo. • De otro lado, estos sistemas pueden verse afectados, en el caso en que la empresa almacene en sus servidores los correos electrónicos de los usuarios aunque estos los eliminen, es decir podría vulnerarse la intimidad de los clientes si la empresa no elimina los correos electrónicos de los usuarios a pesar de que éste cancele su cuenta, sino que la mantiene durante un tiempo determinado, presuntamente sin cumplir con los requisitos exigidos por la normativa de protección de datos de carácter personal.27 Ver STS 956/1994, de 9 de mayo, STS 467/1998, de 3 de abril, STS 622/1998, de 11 de mayo.28 STC 181/1995 STC 49/99, STC 171/99, STS 121/1998, de 7 de febrero. 19
  • 20. Instituto Nacional de Tecnologías de la ComunicaciónEn junio de 2007 un Informe de laOrganización Privacy International 29 , queestudiaba estos aspectos sobre veintitrés delas más importantes empresas del 30sector alertó a la comunidad de usuariossobre las deficiencias por parte de la practicatotalidad de las mismas en el tratamiento de laintimidad y de los datos de carácter personalde los usuarios de los sistemas.El correo electrónico, por su naturaleza jurídicamente idéntica a la del correoordinario, se ve afecto a la protección otorgada por el art. 18.1, 18.3 y 18.4 de laConstitución, que garantiza el derecho a la intimidad personal y familiar, el secreto delas comunicaciones, así como la posible limitación al uso de los medios informáticospara garantizar la intimidad de los ciudadanos.Se debe tener en cuenta que actualmente la mayoría de los servidores de estossistemas de correo web, se encuentran alojados en los Estados Unidos, país quecuenta con una normativa en materia del tratamiento de la intimidad muy diferente ala establecida por los Estados de la Unión Europea, que concede a la intimidad delos ciudadanos una protección muy superior a la otorgada en los Estados Unidos.La política de privacidad de estos sistemas usualmente informa del tratamiento quese va a realizar de los datos de los usuarios solo en ciertos aspectos, ejemplo de ellopuede ser:“…almacena, procesa y mantiene sus mensajes, listas de contactos y otros datosrelativos a su cuenta para poder ofrecerle el servicio…”“…Cuando utiliza nuestro servicio, nuestros servidores graban de manera automáticacierta información sobre su uso del servicio. De manera similar a otros servicios de laweb, el sistema graba información como la actividad de la cuenta (incluyendo uso dealmacenamiento, número de accesos), datos visualizados o sobre los que se hahecho clic (incluyendo elementos de la interfaz de usuario, anuncios, enlaces); y otrotipo de información de acceso (incluyendo tipo de navegador, dirección IP, fecha yhora de acceso, ID de la cookie y URL de origen)…”“…El sistema mantiene y procesa su cuenta y sus contenidos para poder facilitarle elservicio y mejorar nuestros servicios. El servicio incluye publicidad relevante yenlaces relacionados basados en la dirección IP, contenido de los mensajes y otrotipo de información relacionada con el uso que usted haga del servicio…”29 www.privacyinternational.org30 http://www.privacyinternational.org/article.shtml?cmd[347]=x-347-553961 20
  • 21. Instituto Nacional de Tecnologías de la Comunicación“…Nuestros equipos procesan la información de sus mensajes con varios propósitos,incluyendo para que usted pueda formatear y visualizar la información, distribuiranuncios y enlaces relacionados, prevenir correos electrónicos no deseados (spam),guardar una copia de seguridad de los mensajes, y otros propósitos relacionados conel servicio …”Desde el punto de vista de la normativa españolaen materia de protección de datos cabe señalarque si bien el servicio, en su política de privacidadcomunica al usuario ciertos aspectos referidos altratamiento de sus correos, en ningún momentose explica la finalidad concreta con la queéstos son recopilados o tratados ni tampocoante quién puede el afectado ejercitar susderechos.En virtud de lo dispuesto en el art. 5.1 de la Ley 15/1999 de Protección de Datos,todo usuario puede oponerse al tratamiento de sus datos de carácter personal,siendo absolutamente indiferente que este tratamiento lo realice una máquinaautomática o una persona.Desde el punto de vista del respeto a la intimidad y al secreto de las comunicacionesla propia naturaleza del correo electrónico le otorga la protección constitucionaldel secreto de las comunicaciones, por lo que su contenido es inviolable y nopuede ser abierto sin que medie intervención judicial o autorización expresapor parte del afectado.Desde el ámbito comunitario, se ha establecido de forma clara que la intimidad seconsidera vulnerada ante la falta de seguridad de las comunicaciones, por lo queresulta de vital importancia garantizar la privacidad del correo electrónico.En el caso de los correos electrónicos, la intimidad es un bien a proteger en cualquiercaso, pudiéndose entender en peligro esta seguridad ante la existencia de unsistema que aunque automatizado, analiza sistemáticamente el contenido de todoslos correos electrónicos 31 .La protección otorgada por el art. 18.3 de la Constitución Española, ampara tanto elcontenido del mensaje como cualquier otro aspecto relacionado que permita conocercualquier información que afecte a la intimidad del sujeto.31 Mas información en la Recomendación 3/97 sobre Anonimato en Internet adoptada por el Grupo de trabajo sobreprotección de datos del artículo 29 el 3 de diciembre de 1997. Este grupo de trabajo es el organismo comunitarioindependiente de asesoramiento en materia de protección de datos y de la intimidad, quedando sus tareas fijadas porel art.30 de la Directiva 95/46/CE así como en la Directiva 97/66/CE. 21
  • 22. Instituto Nacional de Tecnologías de la ComunicaciónPor su parte, el Código Penal español de 1995 tipifica como delito mediante el art.197.3 la revelación de datos captados a través del correo electrónico. El simpleacceso es considerado como suficiente para entrar dentro del supuesto tipificado, taly como ocurre en el caso de los accesos no autorizados a equipos o redes, por partede piratas informáticos, donde resulta indiferente los motivos del acceso así como loque se haga o no se haga con la información o datos obtenidos con la intromisión.De esta forma resulta indiferente, desde el punto de vista de la calificaciónpenal, que sea una persona o una máquina la que se dedique a entrar y analizarel contenido de todos los mensajes de correo electrónico enviados a través delsistema de correo, ya que en todo caso siempre hay, detrás de la máquina, unapersona que está encargada de manejar dicho dispositivo o programa.Control del correo electrónico en el ámbito laboralEn la actualidad es común en muchos puestos de trabajo tener la posibilidad deacceder a determinados medios electrónicos entre los que cabe destacar el correoelectrónico.El empleador tiene la posibilidad de controlar el uso que se hace del correoelectrónico por parte de los trabajadores conforme a lo dispuesto en el art. 20 delEstatuto de los Trabajadores, que faculta al empresario para adoptar las medidas devigilancia para verificar el cumplimiento de las obligaciones y deberes laborales delos trabajadores.El uso inadecuado y excesivo por parte del empleado del correo electrónico de laempresa o del uso de correo electrónico personal en horario laboral, puede serconsiderado un incumplimiento contractual grave y culposo, pudiéndoseconsiderar causa de despido. Así, una trasgresión de la buena fe contractualpor no respetar la confidencialidad de la información de la empresa; el uso del correoelectrónico de la empresa con fines personales o incluso situaciones más graves,como la utilización del correo electrónico para enviar ofensas o acosar sexualmente acompañeros de trabajo, habilita al empleador para alejar al trabajador de la empresa.El trabajador se encuentra protegido, como no podía ser de otra forma por el derechoal secreto de sus comunicaciones de acuerdo con lo estipulado en el art.18 de la CE.Según el contenido esencial del secreto de las comunicaciones –que debe serrespetado por el control tecnológico del empresario- protege contra la interceptacióno el conocimiento antijurídico de las comunicaciones ajenas. Cuenta además con lagarantía de que sólo mediante resolución judicial puede levantarse el secreto y con elresguardo punitivo que brinda el artículo 197 del Código Penal, que sanciona al quepara descubrir los secretos o vulnerar la intimidad de otro sin su consentimiento, seapoderase de sus papeles, cartas, mensajes de correo electrónico o cualesquieraotros documentos o efectos personales, o interceptase sus telecomunicaciones outilizase artificios técnicos de escucha, transmisión, grabación o reproducción del 22
  • 23. Instituto Nacional de Tecnologías de la Comunicaciónsonido o de la imagen, o de cualquier otra señal de comunicación, castigándolo conpenas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.Por lo tanto, para controlar el uso del correo electrónico, por ejemplo, el empresariodebe demostrar que interfiere en el trabajo ya que, al equipararse al resto de lascomunicaciones, es inviolable y su control puede constituir un delito contra laintimidad, si no cuenta con el consentimiento inequívoco del trabajador.En el caso de necesitarse el acceso al correo electrónico del empleado y a falta delegislación específica, se procede a actuar de manera análoga al procedimientousado en la investigación de las taquillas de los trabajadores, requiriéndose lapresencia de un representante sindical de la empresa. Es usual que en el caso deempresas de entidad se proceda a contar con la presencia de un notario que levanteacta de todo el procedimiento así como del resultado de las pesquisas, a fin dejustificar en su caso el despido del trabajador.El propio Estatuto de los Trabajadores, en su artículo 18, se refiere a la inviolabilidadde la persona, al preceptuar que sólo podrán realizarse registros sobre la persona deltrabajador, en sus taquillas y efectos particulares, cuando sean necesarios para laprotección del patrimonio empresarial y del de los demás trabajadores de laempresa, dentro del centro de trabajo y en horas de trabajo. En su realización serespetará al máximo la dignidad e intimidad del trabajador y se contará con laasistencia de un representante legal de los trabajadores o, en su ausencia del centrode trabajo, de otro trabajador de la empresa, siempre que ello fuera posible. Es decir,los registros están autorizados bajo ciertas condiciones, garantizando transparenciae información al trabajador afectado. Es común en la práctica de estas actuaciones lapresencia de un notario que levante acta de cómo se han llevado a cabo así como delas pesquisas obtenidas de estas investigaciones.Ahora bien, el Tribunal Constitucional ha establecido que frente a medidaslimitadoras como las que puede adoptar el empresario en el caso que nos ocupa, loslímites de los derechos deben ser interpretados restrictivamente, por eso, dichaslimitaciones, además de estar previstas en la ley, deben ser siempre razonables yproporcionadas en relación con el bien o derecho que limitan, justificadas ydestinadas a cumplir realmente el fin para las que fueron establecidas.La razón y proporcionalidad de las medidas no puede establecerse en abstracto.Para comprobar si una medida restrictiva supera el principio de proporcionalidad, esnecesario constatar si es susceptible de conseguir el objetivo propuesto (principio deidoneidad); si, además, es necesaria, en el sentido de que exista otra medida másadecuada para la consecución de tal propósito con igual eficacia (principio denecesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse deella más beneficios o ventajas para el interés general que perjuicios sobre otrosbienes o valores en conflicto (principio de proporcionalidad en sentido estricto). 23
  • 24. Instituto Nacional de Tecnologías de la ComunicaciónLa justificación de la medida limitadora debe ser exteriorizada adecuadamente conobjeto de que los destinatarios conozcan las razones por las cuales su derecho sesacrificó y los intereses a los que se entregó. Por último, la medida limitadora debeservir para hacer efectivo un fin legítimo real, no para encubrir objetivos espurios.ConclusionesA continuación se recoge a modo de resumen una serie de conclusiones expuestas alo largo de esta guía: a. El secreto y privacidad de las comunicaciones se encuentran expresamente considerados por el art. 18.3 de la Constitución Española un derecho fundamental. b. La intervención de las comunicaciones requiere de una previa habilitación legal que permita la intervención, así como de la necesidad y oportunidad suficientemente justificable y de un auto judicial debidamente motivado. c. La retención de datos por parte de los operadores de telecomunicaciones y prestadores de servicios de la Sociedad de la Información tienen como única finalidad poder luchar de forma más efectiva contra los delitos graves, delincuencia organizada, y terrorismo. d. En ningún caso la retención de datos por parte de los sujetos obligados podrá ser relativa al contenido de las comunicaciones, sino únicamente respecto a los datos de tráfico y/o origen y destino. e. Aún no se ha establecido un plazo concreto para poder retener los datos. Únicamente se ha establecido un plazo mínimo de 6 meses y un máximo de 24 meses (2 años), pudiendo ser los estados los que establecen otros plazos dentro de los límites. f. La entrega de una tarjeta de visita, al menos en el ámbito de una convención profesional -tal y como indica la jurisprudencia- se considera como la prestación del consentimiento expreso requerido por la normativa para poder remitir comunicaciones comerciales. La jurisprudencia ha comprendido que la entrega de estas tarjetas de visita entre empresas en el ámbito de una convención o feria de promoción del sector es prueba de una relación comercial presente o futura. g. Aunque en este sentido concreto aún no ha habido pronunciamiento por parte de ningún tribunal, el acceso no autorizado a los correos electrónicos, (aunque sea de forma completamente automatizada y nunca al contenido 24
  • 25. Instituto Nacional de Tecnologías de la Comunicación completo del mensaje), debería ser considerado un acceso ilegítimo y por tanto una vulneración de la intimidad.Palabras ClaveComo complemento a esta guía y para encontrar información y enlaces de interésusted puede acudir al Directorio del Área Jurídica de la Seguridad y las TIC enwww.inteco.es/observatorio/directorio/ Este servicio ofrece enlaces categorizados por palabras clave o “tags”. Serecomiendan, entre otras, las siguientes palabras clave: privacidad; lopd; protección;datos; personales; telecomunicaciones; retención. 25