Directiva de retención de datos: análisis y situación en los países de la Unión.
En el año 2006 la Unión Europea aprobó la Directiva sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, popularmente conocida como “Directiva de retención de datos” y que ha generado una gran polémica y controversia, ya que para algunos sectores su articulado vulnera la privacidad de los ciudadanos. De hecho, en algunos países no ha sido traspuesta todavía y en otros las normas adoptadas para trasponer la misma han sido declaradas inconstitucionales.
Pero, ¿existe verdaderamente un conflicto entre el texto normativa de esta Directiva y la privacidad? ¿Cuál es la finalidad de la retención de los datos? ¿Quiénes pueden acceder a los mismos? ¿Cómo se ha transpuesto esta norma por los diferentes países de la Unión?
Para dar respuesta a estas preguntas, objetivo principal de este post, debemos partir de los orígenes de la misma, citando además diversos informes elaborados por el Grupo del Artículo 29 y el Supervisor Europeo de Protección de Datos.
1.- Orígenes.
Tras los atentados del 11-S de Nueva York y 11-M en Madrid la relación entre privacidad y seguridad ha evolucionado menoscabando la primera a favor de la segunda. Ejemplo claro y reciente es la instalación en varios aeropuertos de los escáneres corporales. Recordemos que del articulado de la Directiva de Retención de Datos se desprende que su finalidad es la prevención, investigación, detención y persecución de los delitos criminales, esencialmente aquellos perpetuados por el crimen organizado.
En este sentido, esta Directiva no es más que otra medida, en este caso de carácter legislativo, en la que prima la seguridad sobre la privacidad. Así podemos citar tres documentos que influyen sobre la elaboración de este texto normativo:
– Las Conclusiones del Consejo de Justicia e Interior de la Unión Europea, de 19 de diciembre de 2002, que incide en la importancia de los datos de la comunicaciones electrónicas para la finalidad descrita anteriormente;
– La Declaración del Consejo de Europa para combatir el terrorismo, adoptada en marzo de 2004, que aborda la necesidad de que se adopte una norma que regule la retención de datos de las comunicaciones electrónicas;
– La Declaración del Consejo de Ministros de la Unión Europea, de 31 de julio de 2005, condenando los ataques terroristas de Londres, y que fija como objetivo que la norma sobre retención de datos esté elaborada para octubre de 2005.
2.- Dictámenes del Grupo del Artículo 29 y del Supervisor Europeo de Protección de Datos.
Hasta en tres ocasiones se ha manifestado este Grupo sobre la normativa de retención de datos personales, oponiendo numerosas objeciones por entender que podría vulnerarse la protección de datos de los ciudadanos.
Así, en primer lugar, en el Dictamen 9/2004 el Grupo del Artículo 29 alertó sobre la monitorización y almacenamiento de los datos de tráfico, ya que consitutían una vulneración del derecho a la privacidad y confidencialidad de las telecomunicacones. Para que esta vulneración no tuviese lugar, según el Grupo, deberían cumplirse tres requisitos:
– Legalidad;
– Necesidad;
– Conformidad con algunos de los supuestos referidos en la Convención de Derechos Humanos.
En este sentido, y sobre el borrador de la propuesta de Directiva de Retención de Datos, el Grupo expresa sus dudas en relación a la aplicación de los citados requisitos.
Por ejemplo, considera desproporcionado que los datos de tráfico se almacenen para los fines descritos, ya que se pasa de un supuesto que antes era excepción a ser la regla general. También estima que es desproporcionado el período de retención, puesto que un estudio ha demostrado sobre las peticiones recibidas por las compañías de telecomunicaciones que ese período no supera los seis meses.
El segundo de los Dictámenes es el 4/2005, en el que se procede a un análisis más detallado que en el anterior informe. Podemos decir que este Dictamen esta dividido en dos partes.
Por una parte, se realiza un análisis general de toda la propuesta, incidiendo en que al afectar a un derecho fundamental, la norma debe ser muy clara, así como que debe cumplirse el principio de proporcioalidad y que el período de retención de los datos sea el mínimo posible.
Por otra, se hacen propuestas específicas sobre diferentes aspectos del texto, como pueden ser los siguientes:
– Objetivo: debe limitarse a la lucha contra el terrorismo y crimen organizado, ya que si fuese sobre investigación de delitos, sin mayor especificación, el término es demasiado amplio.
– Destinatarios de la información: únicamente aquellas instituciones o autoridades establecidas por ley cuya finalidad sea la investigación, prevención y persecución del terrorismo. Para cumplir con el principio de transparencia, debería publicarse en cada país las instituciones o autoridades que pueden recibir los datos retenidos para esos fines.
– Supuestos de cesión de la información: autorización judicial o por ley; debe especificarse en la autorización los datos requeridos.
– Medidas de seguridad: adopción de estándares mínimos, y en todo caso, los contemplados en la Directiva 2002/58. Además, debe separarse la información para este fin de aquella que esté relacionada con los negocios, de forma que la primera se encripte.
– Definiciones: debe existir una definición clara de los tipos de datos que se retengan. Los datos referentes a intentos de comunicaciones – es decir, que no hayan tenido lugar- no tendrían que retenerse.
Por último, el Dictamen 3/2006, que a diferencia de los dos anteriores, examina el texto de la Directiva de Retención de Datos ya aprobada. Para el Grupo algunos de los apartados del texto pueden derivar en diversas interpretaciones por lo que exige que en aras de la salvaguarda de los derechos de los ciudadanos la implementación, es decir, la transposición de la Directiva sea uniforme. Más adelante veremos que no ha sido así, que la citada transposición no es uniforme en los países de la Unión, y que incluso en algunos los Tribunales han declarado inconstitucionales las respectivas leyes de retención de datos aprobadas al amparo de esta Directiva.
Con el objetivo de lograr esa uniformidad el Grupo propone las siguientes salvaguardas:
–Objetivo: definir claramente que se considera “delito” (en inglés, “serious crime”);
-Destinatarios de la información/supuestos de cesión/medidas de seguridad/: igual que en el anterior informe que hemos analizado;
– Minimización de datos: retención de datos el mínimo tiempo posible;
– Finalidad: no se puede tratar los datos retenidos para una finalidad diferente a la que plantea la Directiva.
En cuanto al Supervisor Europeo de Protección de Datos, al igual que el Grupo del Artículo 29, en su Dictamen realiza una serie de propuestas de mejora del proyecto de Directiva (el informe es anterior a la aprobación de la misma), entre las que podemos destacar las siguientes:
– Inclusión de un apartado que asegure que otras autoridades que no sean las permitidas accedan al contenido de los datos retenidos;
– Inclusión de un apartado en el que se refleje que los datos retenidos no pueden suponer que se acceda al contenido de las comunicaciones;
– Limitar el período de retención entre 6 meses y un año;
– Incidir en la responsabilidad de los proveedores que han retenido los datos en cumplimiento de la Directiva. Esta responsabilidad se refleja en materia de comunicación de los datos así como en la adopción de las medidas de seguridad mientras estén retenidos.
– Adición de un apartado que permita a las Autoridades de Control de Protección de Datos auditar cómo están cumplimiendo los proveedores con la norma.
3.- Directiva de Retención de Datos y su transposición al ordenamiento jurídico español.
Debemos preguntarnos cómo ha plasmado la Directiva algunas de las cuestiones que ha puesto en duda tanto el Grupo del Artículo 29 (exceptuando el informe referente a la Directiva ya aprobada) como el Supervisor Europeo de Protección de Datos, si han sido tenidas en cuenta o no, para lo cual podemos destacar los puntos más importantes tratados, de manera que una mera comparativa nos dará como resultado que la respuesta es negativa:
– Objetivo: obligar a los proveedores de servicios de comunicaciones electrónicas de acceso público o red pública de comunicación a conservar los datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves (hay que acudir a la legislación nacional de cada Estado miembro para ver cuáles son).
– Principios de seguridad: se relaciona una serie de los mismos, por ejemplo, adopción de medidas técnicas y organizativas para evitar la destrucción accidental o alteración, si bien no se especifican cuáles.
– Plazo de conservación: mínimo 6 meses, máximo 2 años.
– Destinatarios: autoridades nacionales competentes de acuerdo a su legislación. Se obvia la obligación de hacer público un listado de los mismos para dar transparencia.
– Categoría de datos que se conservan: se establece todo un catálogo dependiendo de la finalidad. Por ejemplo, datos necesarios para rastrear el origen de una comunicación o fecha y hora de la misma, puestos en relación además con el medio utilizado (Internet, correo electrónico, telefonía…). Se incluye también la conservación para las llamadas infructuosas.
Esta Directiva fue transpuesta al ordenamiento jurídico español mediante la aprobación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Como curiosidad, se hizo con más de un mes de retraso, ya que la Directiva fijaba como fecha límite para realizar la transposición el 15 de septiembre de 2007.
Sobre los puntos que ya hemos citado, la Ley 25/2007, de 18 de octubre, establece lo siguiente:
– Objetivo: obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Sobre este apartado destacan dos cosas: exigencia de autorización judicial y que los delitos sean graves.
– Conservación: 12 meses, aunque reglamentariamente (hasta la fecha no se ha hecho) para determinadas categorías podrá ser entre 6 y 24 meses.
– Destinatarios (cesionarios): tasado única y exclusivamente a tres supuestos. A saber: Los miembros de las Fuerzas y Cuerpos de Seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial; los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal; y el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.
– Medidas de seguridad de conservación: remisión a las establecidas en la LOPD y su Reglamento de desarrollo.
Por último, destacar que la Agencia Española de Protección de Datos es la autoridad pública responsable de velar por el cumplimiento de las previsiones de la Ley Orgánica 15/1999, de 13 de diciembre, y de la normativa de desarrollo aplicables a los datos contemplados en esa Ley.
4.- Dictámenes sobre la transposición de la Directiva realizada por los Estados miembros de la Unión Europea: Grupo del Artículo 29 y Comisión Europea.
El primero de ellos, el realizado por el Grupo del Artículo 29, pone de relieve que no se ha llevado a cabo una transposición adecuada, ya que los Estados miembros han ido más allá al haber interpretado algunos de los apartados de la norma. El Grupo pone énfasis en los siguientes aspectos:
– Categoría de datos objeto de conservación: el listado es demasiado exhaustivo. Además, no puede obligarse a retener más datos que los que aparecen en la Directiva.
– Período de conservación: debería ser reducido.
– Otras cuestiones: el concepto de “delito” debe estar relacionado con la legislación de cada Estado, y debe publicarse la lista de entidades que puedan acceder a los datos retenidos.
Sin embargo, es el Dictamen de la Comisión, del año 2011, el que mayor información nos va a proporcionar sobre la situación de transposición de esta Directiva por parte de los Estados miembros de la Unión, ya que realiza un análisis comparativo de cada una de las leyes adoptadas por los citados Estados en relación con varios de los apartados de esa Directiva. Una muestra de ello son los siguientes ejemplos ilustrativos:
a.- Finalidad de la retención/conservación de los datos.
Aunque la mayoría de países ha optado como finalidad por la investigación de delitos (Dinamarca, Grecia, Chipre, Italia, Portugal, Malta), otros han ido más allá. Así, Bélgica incluye también la investigación en el uso abusivo tanto del servicio de emergencias electrónicas como de las comunicaciones electrónicas; Francia la protección de la propiedad intelectual; o Eslovenia la protección de los intereses económicos de ese país.
También destaca que en algunos países se especifique que sea para la investigación de comisión de delitos cuya pena de cárcel sea superior a un año (Luxemburgo), tres (Estonia) o cinco (Irlanda).
b.- Destinatarios (cesionarios) de los datos:
Autoridades judiciales, policía, centros de inteligencia nacional e incluso en algunos países la autoridad militar. Señalar que en Polonia puede accer el Departamento de Anticorrupción; en Portugal la policía marítima y la de fronteras; y en Hungría y Reino Unido la Administración tributaria.
c.- Período de conservación de los datos:
Podemos dividir los países entre los que han optado por un período mínimo que sería de 6 meses (Chipre, Lituania, Luxemburgo); intermedio de 1 año (Dinamarca, Estonia, Holanda, Portugal, Finlandia, Reino Unido); y uno máximo de 2 años ( Polonia, Italia, Irlanda –estos dos únicamente para llamadas de teléfono, ya sea de fijo o de móvil-).
Otro de los puntos importantes que analiza este informe de la Comisión Europea son los países en los cuales su respectivo Tribunal Constitucional ha declarado inconstitucional la ley aprobada en esta materia.
Concretamente, Rumanía, Alemania y República Checha. En el caso Rumano, su Alto Tribunal consideró que el objetivo de su ley era demasiado ambigüo por lo que era incompabible con el derecho a la privacidad y libertad de expresión del artículo 8 de la Convención Europea de Derechos Humanos. En Alemania, país puntero en materia de privacidad, la retención de datos producía un “estado de vigiliancia” del individuo contrario a los derechos fundamentales. Y en la República Checa además de los argumentos citados en los otros dos países, su Tribunal señaló que no existían las garantías suficientes para los ciudadanos en caso de abuso por los poderes públicos.
Asimismo, otros tres países también analizaron sus respectivas leyes: Bulgaria (procediendo a una revisión de la ley transpuesta); Chipre (declarando inconstitucional parte de la misma); y Hungría (mismo resultado que Chipre).
En la actualidad, tanto la República Checa como Rumanía han aprobado nuevas leyes al respecto; Suecia no ha realizado la transposición de la Directiva al considerar que no es necesario; y en Eslovaquia la norma de ese país va a ser analizada ante su Tribunal Constitucional.