Contacto

Para consultas jurídicas "david @ 451.legal"

martes, 24 de abril de 2012

Conservación de datos y datos personales de terceros

Varias de las disposiciones de la Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones disponen que los operadores de redes de telecomunicaciones almacenen y conserven durante un año informaciones sobre las comunicaciones que establecemos con terceros, con el fin de, en su caso, utilizar esa información para la averiguación e investigación de delitos graves.

Algunos de los datos que deben almacenar se encuentran no sólo la IP de origen o el número de teléfono desde el que llamamos, sino que se incluye como objeto de retención datos sobre el destino de las comunicaciones.

Así, por ejemplo, el artículo 3.b.2 indica que entre los datos necesarios para identificar el destino de una comunicación:
Con respecto al correo electrónico por Internet y la telefonía por Internet:
    1. La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet.
    2. Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación.
Es decir, que con cada email que enviamos nuestro prestador de servicios almacena, entre otros datos de la cabecera, el destinatario del email. Entiendo que lo que se almacena es la dirección de correo electrónico de destino, puesto que un operador no tiene porqué tener otros datos del destinatario de la comunicación.

A efectos de la ley de conservación de datos las preocupaciones terminan en el momento en que desaparece la obligación de conservar, esto es, el plazo de 12 meses.

Ahora bien, dado que la dirección de correo electrónico puede ser (la Agencia Española de Protección de Datos opina que lo es en todo caso) un dato de caracter personal, por estar compuesta, por ejemplo, por el nombre y el apellido de la persona nos encontramos ante la duda de si sobre esa dirección y el tratamiento de conservación obligado por la ley existe sometimiento al régimen de la Ley Orgánica 15/1999 de protección de datos.

La importancia de la cuestión deriva del plazo de conservación de los datos, ya que el coste de almacenamiento de millones de cabeceras de email puede ser elevado para el proveedor de servicios de correo electrónico.

El primer aspecto a valorar es si los ficheros que contienen estos datos entran dentro del ámbito de aplicación material de la LOPD, ya que la norma contiene una exclusión muy relevante habida cuenta de las razones para la retención de datos:
"2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:
c. A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos."
Si bien en un principio la Directiva 2006/24/CE contiene en sus considferandos menciones expresas a la persecución de estos delitos:
"Dado que la conservación de datos se ha acreditado como una herramienta de investigación necesaria y eficaz para aplicar la ley en diferentes Estados miembros, en particular en asuntos de gravedad como la delincuencia organizada y el terrorismo, es necesario garantizar que los datos conservados se pongan a disposición de las fuerzas y cuerpos de seguridad durante un determinado período de tiempo, con arreglo a las condiciones establecidas en la presente Directiva."
Lo cierto es que las referencias a delitos permiten que sus disposiciones alcancen a delitos más amplios y no exclusivamente a aquellos relacionados con terrorismo o formas de delincuencia organizadas.

Como ya se ha comentado en otras ocasiones, en el caso de España, los tribunales aplican la norma para cualquier delito, incluidas unas meras injurias, y no sólo en el caso de delitos graves que es lo que marca expresamente la ley, la Directiva y los debates parlamentarios.

Por lo tanto, ante la posibilidad de emplear estos datos para otros fines, debemos concluir que los ficheros que contengan los datos de tráfico pueden ser objeto de la LOPD (Además la propia LCD remite en sus artículos 8 y 9 a la LOPD para aspectos relativos a su seguridad, conservación y derechos, entiendo que para el caso de que los datos de tráfico no puedan ser considerados personales).

Aunque los datos del destinatario del email son proporcionados por el remitente, y este debe cumplir con la LOPD (excepto en los casos previstos) en mi opinión el responsable del fichero en el que se almacenan los datos del destinatario es el prestador de servicios de email.

Entiendo que es este quien cumple con los requisitos que marca la ley para ser considerado como tal (persona que decide sobre la finalidad, contenido y uso del tratamiento, art. 3 LOPD) y no es simplemente un mero encargado del tratamiento por cuenta del remitente, a los efectos de la LCD no de la prestación del servicio de correo, evidentemente.

Pero el aspecto problemático para el prestador tiene que ver, como se ha dicho, con los costes de mantener esos datos, ya que con la Ley de Conservación es de, al menos, 12 meses, pero en el caso de la LOPD puede resultar mucho más amplia según entendamos cual es el régimen aplicable a estos datos, artículo 16.3:
"La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión."
Esto significa que cancelar los datos no equivale a su destrucción, sino que se ponen en un estado latente que no admite nada más que ciertas operaciones sobre ellos y con una finalidad determinada y durante plazos mucho mayores.

En la LCD, en el artículo 5.1 se regula la obligación de conservación en los plazos indicados, pero no se dice nada sobre que debe hacerse con esos datos una vez superado ese plazo. Lo que dice la LCD, artículo 5.2, es que:
"2. Lo dispuesto en el apartado anterior se entiende sin perjuicio de lo previsto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sobre la obligación de conservar datos bloqueados en los supuestos legales de cancelación."
Este artículo 16.3 antes citado habla de que cuando los datos se cancelen deben seguir estando a disposición para responder por las responsabilidades derivadas del tratamiento, lo que podría inducir a pensar que los datos de tráfico retenidos no pueden ser destruidos.

En mi opinión esto no es así.

La LOPD cuando habla de conservación, como en el artículo 16.5, lo hace como el tiempo en que los datos están disponibles de una u otra manera. También el 16.3 LOPD hace mención a conservación en relación al estado cuando están bloqueados.

Es decir, los datos se conservan cuando están activos (en su uso normal) o cancelados (latentes), por lo que una vez desaparece la obligación de conservación estos pueden ser eliminados.

Lo contrario supondría entender que los datos, vía artículo 16.3 LCD están disponibles para las responsabilidades derivadas de su tratamiento pero no para la investigación de delitos graves, lo que sin duda resulta absurdo y el 16.5 señala que:
"5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado."
Por lo que es razonable concluir que transcurridos 12 meses desde su retención, estos datos pueden ser eliminados completamente de los equipos del prestador.

En esta línea también se entiende la mención al coste del servicio en el artículo 5 LCD (como referencia para establecer un periodo inferior o superior de tiempo) ya que el coste de conservación de los datos es el mismo el día uno que pasados un año y dos meses en términos de espacio, por lo que no tendría sentido introducir esa preocupación por el coste y obligar a mantener los datos mucho más tiempo.

[Agradecer a Jorge Campanillas su inspiración para escribir este articulo.]

2 comentarios:

  1. Buenas, David

    Aplica la LOPD a todos los datos retenidos, ya lo dice la Ley 25/2007.

    El operador es el responsable del fichero, cuya finalidad es conservar los datos para ser cedidos a los agentes autorizados. Las telcos no investigan. Otra cosa es lo que aplica al fichero donde los agentes autorizados incluyen los datos para las investigaciones.

    Los datos han de conservarse por plazo de 12 meses, pasados los cuales han de ser bloqueados por 3 años (plazo de prescripción infracciones graves vía LGTel y LOPD) tras lo que entonces ya habrán de ser destruidos, anonimizados o bloqueados permanentemente sin posibilidad alguna de acceso. Es erróneo considerar que los datos retenidos han de ser conservados durante los plazos de prescripción de los delitos graves, más que nada porque no se cumpliría el requisito de proporcionalidad exigible a las injerencias en derechos fundamentales

    Cuando los datos han sido cedidos a los agentes autorizados, aquellos habrán de ser conservados hasta que exista sentencia firme

    Un saludo

    ResponderEliminar
  2. Cuando un operador puede eliminar los datos y registro de pedidos bajas de lineas, etc... Pasados uno dos o tres años? Los datos se borran o se bloquean y siguen teniendo tus datos las operadoras de telefonía? Me encabtaria q alguien me contestase, esto esta regulado legalmente o hay un vacío legal y el operador puede tener mis datos hasta que les de la gana a ellos

    ResponderEliminar