Contacto

Para consultas jurídicas "david @ 451.legal"

jueves, 29 de mayo de 2014

¿Redactó Telefónica el régimen sancionador de la Ley de Conservación de Datos?

Con ocasión de la nueva Ley General de Telecomunicaciones se ha "devuelto" a la Ley 25/2007 de Conservación de Datos las conductas que son sancionables administrativamente.

Los cambios producidos son basicamente 3:
  • Aclarar el tiempo en que se debe cumplir el requerimiento. Expresamente 7 días, frente a la referencia anterior de 72 horas en caso de que la orden judicial no dijese nada.
  • Se clarifica que únicamente es sancionable la no conservación o la no disposición de las medidas de seguridad previstas
  • Se elimina el elemento subjetivo de la sanción, al no ser requisito ya "el incumplimiento deliberado" respecto de la conservación como requisito. Ahora la responsabilidad es objetiva. Sí se mantiene para las medidas de seguridad.
Entre las conductas sancionables no figura, ni figuraba, la negativa a entregar los datos al juzgado. Sobre esto había dudas y, de hecho, hay procedimientos sancionadores pendientes ante el Ministerio a día de hoy.

Personalmente me parece acertado que se establezca de esta manera el régimen sancionador. Que cada ley sea completa en sí misma lo máximo posible, sin tener que ir de una a otra para entenderla siempre es positivo.

Al margen de esto, se da en este caso una peculiar situación.

Sucede que parece que quienes han hecho la reforma de la Ley son los que hicieron las alegaciones en un determinado procedimiento sancionador.

En 2011 Telefónica fue sancionada con 100.000 euros por no entregar los datos asociados a un IMEI a un juzgado de Ponteaereas que estaba investigando un delito de robo con fuerza en la cosas (delito menos grave!!).

Al no cumplir el mandamiento, la Dirección General de la Policía y de la Guardia Civil formuló denuncia ante la SETSI el 28 de junio.

Telefónica acabó contestando pero una vez que ya se había iniciado el expediente sancionador, en enero del 2011.

El, ya derogado, artículo 53.o de la antigua LGTel establecía como infracción:
"[...] el incumplimiento deliberado de las obligaciones de conservación de los datos establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones."
La Policía y la SETSI entendían que la referencia en plural a "obligaciones" incluía la no entrega de los datos, no sólo el no haberlos retenido y por eso esta última sancionó con 100.000 euros.

El recurso de Telefónica, como puede verse en la Sentencia de 17 de marzo de 2014 de la Audiencia Nacional (pdf), contra la sanción se basaba en varios puntos:

- Exigencia de dolo en la conducta, la exigencia de la intencionalidad. Lo que ha desaparecido de que la conducta en la no conservación sea deliberada.

- Que el mandamiento del juzgado no incluía un plazo para ser cumplido y que la tardanza de 8 meses en contestar se debió a que procesan un elevado volumen de mandamientos judiciales. Según aportaron al juzgado 40.243 órdenes de cesión de datos y 18.080 requerimientos de interceptación sólo en 2010.

- Que la conducta consistente en no entregar los datos al juzgado no es sancionable administrativamente.

- Que los datos pedidos tampoco se debían dar pues no se trataba de la persecución de un delito grave. (Sobre esto último parece que la sentencia quiere entrar, pero al final no dice nada claro...)

La Audiencia Nacional resuelve dando la razón a Telefónica y anulando la sanción impuesta por la SETSI, porque reconoce que sí es necesario el elemento subjetivo:
"Se ha de rechazar, por ser claramente contrario a derecho, el criterio expuesto en la resolución de 16 de diciembre de 2011, de que el tipo infractor se integra por el elemento objetivo, no siendo necesaria la concurrencia del elemento subjetivo, pues no solamente ha de concurrir el elemento culpabilístico en cualquier infracción administrativa, sino que en este caso tal elemento se establece en el tipo a título de dolo, ya que no cabe interpretar de otro modo el término "deliberado"
Además, destaca que no es sancionable por la administración la entrega de datos, ya que la conservación y la entrega son dos obligaciones diferentes:
"Es claro que la Ley 25/2007 regula como obligaciones distintas la de conservar determinados datos (los recogidos en el artículo 3 ) y la obligación de ceder dichos datos. Se trata de dos obligaciones de distinto contenido y con regulación específica cada una de ellas, por lo que no puede aceptarse el argumento de la Administración de que el término "conservación" al que hace referencia el artículo 53.o) de la Ley 32/2003 es extensivo a todas las obligaciones establecidas en la Ley 25/2007, concretamente a la de cesión de datos."
Y, por lo tanto, concluye que:
"De todo lo expuesto cabe inferir que, tal como se razona en el escrito de demanda y reitera en el de conclusiones, los hechos que se imputan a la entidad recurrente no tienen encuadre legal en el tipo del artículo 53.o) LGtel. Pues el incumplimiento de lo dispuesto en los artículos 6 y 7 de la Ley 25/2007, arriba citados, no es una conducta tipificada en aquel artículo, siendo de carácter penal las responsabilidades que pueden derivarse de tal conducta."
Pues bien, si apreciamos el texto de la primera versión de la tramitación parlamentaria, de septiembre de 2013,  ya tenemos el texto que luego ha sido definitivo y como es faćil apreciar, las modificaciones se corresponden esencialmente con lo alegado por Telefónica en este procedimiento. ¿Casualidad?

Es cierto que las modificaciones introducidas, como decía, me parecen razonables y lógicas, pero no sé hasta que punto son fruto del análisis de lo que se quiere hacer o simplemente de la acción de una compañía determinada.

Hay que tener en cuenta, además, que el texto de la reforma no ha sufrido modificaciones en el trámite parlamentario, por lo que tuvo que partir del propio Ministerio, que después ha estado instruyendo procedimientos por hechos similares.

Es decir, es una reforma técnica que viene del Ministerio, pero no de los técnicos del Ministerio, porque de lo contrario no tratarían de sancionar por lo mismo con posterioridad, como están haciendo.

Por eso me pregunto, ¿es esta modificación una enmienda "Telefónica"?

miércoles, 14 de mayo de 2014

Suspensión cautelar de dominios por la Policía, más inseguridad juridica en internet

Atención a la perla que contiene la nueva Ley General de Telecomunicaciones, teniendo en cuenta el creciente interés de la política hacía lo que se dice y hace en internet, en particular en los límites de lo que es delito o no.


Comenta el compañero Jorge Campanillas en su blog que las autoridades administrativas podrán cancelar o suspender nombres de dominio de acuerdo a la modificación que se introduce en la LSSICE.

Ya teníamos competencias de Red.es para "retirar" el dominio por razones de interés público, pero ahora se da una más detallada regulación a los supuestos de intervención de un dominio por la administración.


Pero además hay un punto que no me gustaría que pasase desapercibido, ya que se abre la posibilidad de que cautelarmente las Fuerzas y Cuerpos de Seguridad del Estado suspendan la asignación de un nombre de dominio. Así se introduce un apartado adicional 5 bis en la Disposición Adicional Sexta (toma claridad legislativa!!) con el siguiente literal:
"La autoridad de asignación suspenderá cautelarmente o cancelará, de acuerdo con el correspondiente requerimiento judicial previo, los nombres de dominio mediante los cuales se esté cometiendo un delito o falta tipificado en el Código Penal. Del mismo modo procederá la autoridad de asignación cuando por las Fuerzas y Cuerpos de Seguridad del Estado se le dirija requerimiento de suspensión cautelar dictado como diligencia de prevención dentro de las 24 horas siguientes al conocimiento de los hechos."
¿Se imaginan que en la investigación de comentarios poco afortunados por el asesinato de una persona se suspende un dominio sin orden judicial? ¿O que en un caso de propiedad intelectual se actúa de igual manera, aunque los jueces tengan dudas de si la actividad es delito o no?

Pues esa es la posibilidad que se abre ahora.

Es cierto que en nuestro ordenamiento se establece la posibilidad de este tipo de diligencias por parte de las Fuerzas y Cuerpos de Seguridad, pero me cuesta encajar en su actual regulación esta suspensión cautelar.

Las facultades de la policía judicial en relación a las Diligencias de Prevención se regulan en el artículo 4 del Real Decreto 769/1987:
"Todos los componentes de las Fuerzas y Cuerpos de Seguridad, cualquiera que sea su naturaleza y dependencia, practicarán por su propia iniciativa y según sus respectivas atribuciones, las primeras diligencias de prevención y aseguramiento así que tengan noticia de la perpetración del hecho presuntamente delictivo, y la ocupación y custodia de los objetos que provinieren del delito o estuvieren relacionados con su ejecución, dando cuenta de todo ello en los términos legales a la Autoridad Judicial o Fiscal, directamente o a través de las Unidades Orgánicas de Policía Judicial."
También se regulan en el artículo 770 de la Ley de Enjuiciamiento Criminal, en la misma línea, pero sin que pueda decirse que se incluya la suspensión de un dominio.

En relación con las Diligencias de prevención y las medidas cautelares, tenemos también el artículo 13 de la Ley de Enjuiciamiento Criminal que dice que tienen como objetivo:
"[...] consignar las pruebas del delito que puedan desaparecer, la de recoger y poner en custodia cuanto conduzca a su comprobación y a la identificación del delincuente, la de detener, en su caso, a los presuntos responsables del delito, y la de proteger a los ofendidos o perjudicados por el mismo, a sus familiares o a otras personas, pudiendo acordarse a tal efecto las medidas cautelares a las que se refiere el artículo 544 bis o la orden de protección prevista en el artículo 544 ter de esta ley."
Por su parte el artículo 544 bis,(el ter es de violencia de género) no recoge como medida la suspensión de un nombre de dominio. Al contrario, las medidas son muy diferentes y del tipo de alejamiento de las víctimas y los responsables:
"En los casos en los que se investigue un delito de los mencionados en el artículo 57 del Código Penal, el Juez o Tribunal podrá, de forma motivada y cuando resulte estrictamente necesario al fin de protección de la víctima, imponer cautelarmente al inculpado la prohibición de residir en un determinado lugar, barrio, municipio, provincia u otra entidad local, o Comunidad Autónoma.[...]"
No veo pues un sustento que dé seguridad a los agentes o a los titulares de un dominio ".es", pues si bien es cierto que estas medidas son cautelares, la adopción de las mismas es prácticamente inmediata y sin posibilidad de reacción previa.

En cualquier caso andamos así por los parches continuos a la legislación al no tener ya un código Procesal Penal que regule adecuadamente esta y muchas otras cuestiones.

Vista la inseguridad jurídica, no parece recomendable utilizar como dominio principal un ".es", por lo que pueda pasar.

Tras la sentencia en el caso Google, ¿y ahora qué?


Tras el fallo del Tribunal de Justicia de la Unión Europea, que da la razón a la Agencia Española de Protección de Datos, ¿qué panorama es razonable esperar, habida cuenta del contenido de la sentencia?.

En primer lugar, hay que esperar como aplica la Audiencia Nacional, el órgano que eleva la consulta, el caso particular, aunque el TJUE prácticamente lo ha dado todo resuelto, con constantes referencias al supuesto concreto.

Pero la aplicación de esta jurisprudencia no es automática, en cada uno de los más de 200 casos pendientes la Audiencia Nacional debe valorar si el supuesto ampara o no la pretensión de Google, que es el recurrente, o de la Agencia Española, que es quien ha dictado la tutela de derechos de los particulares.

Habrá casos en los que se resuelva en el mismo sentido, y se aprecie que el interés legítimo impone retirar los enlaces, pero habrá otros casos, como por ejemplo con personajes públicos o datos publicados por mandato legal, en los que no.

Pero tras los casos que ya están en la Audiencia Nacional, se pueden dar varios escenarios.

El primero, y más evidente, es que Google Spain S.L. cierre. No quiero decir que el buscador no sea usado desde España, solamente que deje de prestar servicios la empresa auxiliar para la comercialización de la publicidad. Ello no es que haga que la normativa no le sea aplicable, pero si al menos pondría nuevamente sobre la mesa el debate.

Hay que tener en cuenta que los efectos de esta sentencia, y por ello de la legislación española y europea, se producen por la existencia de la oficina en España. Sin ella, Google podría volver a alegar que no le es aplicable la legislación y volveríamos a la casilla de salida.

El segundo, es que Google ponga una herramienta para retirar automaticamente todos los enlaces que el usuario, con una mínima acreditación o compromiso de legitimidad, al estilo DMCA, señale como infractores de sus derechos.

De esta manera, se automatizaría el proceso, para el buscador el coste de implementarlo sería mínimo y si ya lo hace para cuestiones de propiedad intelectual, ningún impacto en su  modelo de negocio se produce.

Esta posibilidad es la que presenta un mayor riesgo para los derechos de los demás, puesto que nos impide a los demás localizar fácilmente información en internet, aunque sea pública y legítima. El TJUE también menciona este problema en su sentencia y le preocupa el efecto que pueda darse.

La tercera opción, es montar un sistema de recepción de avisos, valorarlos y decidir si se retira el enlace. Esto puede implicar unos costes de gestión enormes, ya que implica valorar cada petición individualmente y decidir, con el riesgo a equivocarse.

Esta posibilidad es la más acorde con el respeto a los derechos de todos y el fallo del TJUE.

Y la cuarta opción es no hacer nada, y puede que sea la más inteligente para Google. Acumular las peticiones, dejar que los usuarios que lo consideren inicien un procedimiento de tutela de derechos, no todos lo harán, ante la Agencia de Protección de Datos y que sea esta quien decida cuando procede o no la retirada del enlace.

De esta manera, el problema se les traspasaría a la Agencia, que podría verse saturada de peticiones, que debe resolver y le daría el trabajo de decisión hecho a Google, con unos costes mínimos, puesto que las alegaciones podrían ser casi un formulario.

Estos son escenarios posibles habida cuenta del contenido de la Sentencia.

Lo cierto es que la misma me deja un sabor agridulce. Por un lado, y en el corto plazo, por los derechos del ciudadano afectado me parece positiva. Pero a largo plazo creo que puede tener efectos negativos en términos sociales, pues no me termina de convencer la posibilidad de que cada uno mostremos sólo una parte de lo que nos interesa, obviando otras cosas que también son importantes. El problema es que en los procedimientos para decidir qué se retira y que no, el interés del resto por conocer, no se ve representado.

Habrá que estar atento a como se desarrollan los acontecimientos, porque esto sólo acaba de comenzar.

martes, 13 de mayo de 2014

La Ley General de Telecomunicaciones y el cifrado, ¿problemas de constitucionalidad?

Se ha aprobado una nueva Ley General de Telecomunicaciones que regula las obligaciones y derechos de operadores y usuarios de los servicios de comunicaciones electrónicas.

Uno de los aspectos relevantes, desde el punto de vista de los usuarios de estos servicios, es la posibilidad de usar medios de cifrado de las comunicaciones.

Como ya comenté, el cifrado de comunicaciones forma parte del derecho fundamental al secreto de las comunicaciones, regulado en el artículo 18.3 de la Constitución Española:
"Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial."
Como es sabido cualquier regulación que desarrolle derechos fundamentales, como los del artículo 18, exige que se haga mediante Ley Orgánica, así  lo establece el artículo 81 de la propia Constitución:
"Son leyes orgánicas las relativas al desarrollo de los derechos fundamentales y de las libertades públicas, las que aprueben los Estatutos de Autonomía y el régimen electoral general y las demás previstas en la Constitución"
Por supuesto la limitación a un derecho fundamental, como la garantía al secreto de las comunicaciones parece evidente que entra en esa categoría.


En los artículos 39 a 44 de la Ley General de Telecomunicaciones se recogen una serie de previsiones generales sobre el secreto de las comunicaciones y la intervención de las mismas.

Así por ejemplo, el artículo 39.11 obliga a que si en una comunicación intervenida, como por ejemplo la llamada por móvil, se entregue sin cifrado, retirándose el mecanismo que la hace secreta:
"En el caso de que los sujetos obligados apliquen a las comunicaciones objeto de interceptación legal algún procedimiento de compresión, cifrado, digitalización o cualquier otro tipo de codificación, deberán entregar aquellas desprovistas de los efectos de tales procedimientos, siempre que sean reversibles"
Parece evidente que esa medida tiene  un impacto directo en el secreto regulado en el artículo 18.3 de la Constitución.

La importancia de esto es tal que, al ser una medida que afecta a la escucha y transcripción de conversaciones cifradas, las de telefonía móvil, se pueda cuestionar ante el juzgado en la investigación de un delito si la norma habilitante es lícita, por tener rango suficiente. Imaginemos los problemas que eso puede dar en una investigación penal, por ejemplo.

Otro artículo que hace mención al cifrado es el 44, en relación a los servicios de comunicaciones electrónicas, que establece que:
"1. Cualquier tipo de información que se transmita por redes de comunicaciones electrónicas podrá ser protegida mediante procedimientos de cifrado.
2. El cifrado es un instrumento de seguridad de la información. Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la información, se podrá imponer la obligación de facilitar a un órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con la normativa vigente."
Lo mismo, que estamos ante una regulación de un derecho fundamental del ciudadano a usar instrumentos que hagan secreta, o de difícil acceso su contenido, la comunicación por terceros. Siendo requisito ineludible la regulación por Ley Orgánica.

Es cierto que el Tribunal Constitucional ha planteado que es admisible que una Ley ordinaria actúe como complemento de la Ley Orgánica,  STC 137/1986:
"[...] la reserva enunciada en el art. 81.1 de la Constitución para el desarrollo de los derechos fundamentales y de las libertades públicas no es incompatible con la colaboración internormativa entre la fuente a favor de la cual la reserva se establece y otras fuentes de producción reconocidas en la Constitución, para alcanzar, de este modo, una disciplina integral y articulada del ámbito de que se trate."
En este caso, la Ley Orgánica que regula la interceptación de las comunicaciones se encuentra en el artículo 579.2 LECrim:
"2. Asimismo, el Juez podrá acordar, en resolución motivada, la intervención de las comunicaciones telefónicas del procesado, si hubiere indicios de obtener por estos medios el descubrimiento o la comprobación de algún hecho o circunstancia importante de la causa."
Podemos plantearnos si la Ley General de Telecomunicaciones supone esa complementariedad que ampara el Tribunal Constitucional o sin embargo va más allá y entra a desarrollar un derecho fundamental. Como dice la propia STC 137/1986:
"El problema es, más bien, el de cuál sea el carácter de tal remisión y el de la sujeción que la misma entrañe sobre el legislador ordinario, pues ciertamente habría de reputarse ilegítimo todo reenvío en blanco o con condiciones tan laxas que viniesen a defraudar la reserva constitucional en favor de la Ley Orgánica."
Decir que se han de poner a disposición del juez las comunicaciones, pero no incluir en la Ley Orgánica ninguna reserva o limitación adecuada, ¿no es hacer  una remisión demasiado laxa que evita la adecuada valoración legislativa?

Uno de los aspectos que pudieran ser controvertidos es que la Ley General de Telecomunicaciones ha sido aprobada en comisión y una de las especialidades de la Ley Orgánica es que no es posible su aprobación por este mecanismo.

Considero que la regulación del cifrado, como parte esencial del derecho al secreto de las comunicaciones en el mundo actual, debería ser objeto de una mejor regulación y se me plantean serias dudas de la validez constitucional de su tratamiento legal actual.