Contacto

Para consultas jurídicas "david @ 451.legal"

lunes, 7 de julio de 2008

La viga propia o los métodos de la Agencia de Protección de Datos

Interesante comentario de una resolución (pdf) de la Agencia de Protección de Datos por parte de Samuel.

Desde el punto de vista del caso puntual, poco más puede decirse de las acertdaas palabras de Samuel y las interesantes aportaciones en los comentarios de Sergio Carrasco.

Sin embargo hay una cuestión en todo ese asunto que termina de gustarme y que es una cuestión que la Agencia de Protección de Datos (AGPD) parece no querer valorar, precisamente porque le afecta a ella misma.

Según el propio relato fáctico contenido en la Resolución sancionadora, la AGPD solicita a los responsables de diferentes sitios web que remiten correos con información comercial los datos de los que disponen de las altas en sus servicios, así como los procedimientos para verificar el consentimiento.

Obtenida la dirección IP desde la que se hizo la conexión al servicio la Agencia se dirige al operador de telecomunicaciones a fin de que le proporcione la identidad del titular de la línea desde donde se remitieron los datos.

"Casualmente" la línea corresponde a una persona jurídica, y por lo tanto no se ve afectada por la Ley Orgánica de Protección de Datos, pero no así por otras normas que veremos.

Pero la naturalidad de la petición de la Agencia obliga a preguntarse si la misma puede ir pidiendo los datos, que pueden ser personales, a terceras empresas.

El dato de la dirección IP, así como la duración de la conexión que figura en la propia resolución sancionadora, son datos relativos a una comunicación electrónica.

Estos datos, sean o no de caracter personal, se ven sometidos a la Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. (Art. 1):

"1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.

3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas."

Los datos que las operadoras de tráfico retienen son( art. 3.1.a):

"2. Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

    1. La identificación de usuario asignada.

    2. La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.

    3. El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono."

En el caso de la duración de la conexión (art.3.1.c):

"2. Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:

    1. La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado.

    2. La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario."

Y respecto del número del titular de la líena sobre la que se produce la comunicación (art.3.1.d):

"3. Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

    1. El número de teléfono de origen en caso de acceso mediante marcado de números."

Todos estos datos son retenidos y quedan en poder de los prestadores de servicios de comunicaciones electrónicas, sujetos obligados por esta Ley de Conservación de datos, artículo 2.

Esta norma establece que los datos de tráfico, hagan referencia a personas físicas o jurídicas, no pueden ser cedidos a terceros excepto en los casos de la persecución de delitos graves y a una serie de personas claramente delimitadas y previa solicitud judicial(artículo 6):

"1. Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial."

En la resolución de la Agencia no se encuentra ninguna referencia al procedimiento judicial abierto o al grave delito cometido.

Sin embargo, AUNA le proporciona:

"Auna Telecomuniciones, S.A.U., que tiene asignado el rango de direcciones al que corresponde la dirección IP “#########”, informó que “el usuario al que se asocia la dirección IP citada es un usuario genérico, el número de teléfono que utiliza para conectarse es el *********”. De la documentación aportada por dicho operador de telecomunicaciones, se desprende que la conexión desde esta línea telefónica tuvo lugar a las 19:13 del día 25/10/2005, con una duración total de 32,5 minutos."

Vamos, que en mi opinión, todos esos datos son los propios sometidos a la Ley de Conservación y por lo tanto sujetos a su ámbito de aplicación de la norma. Sin embargo la AGPD los obtiene sin ningún problema.

Con la información de AUNA, la Agencia se dirige a Telefónica para localizar al responsable de la línea, que finalmente es la empresa sancionada.

Sin la información proporcionada por AUNA no se habría podido sancionar, por lo que estamos ante una prueba de mucha relevancia para la resolución del asunto. Sin embargo, entiendo que AUNA no debió proporcionar los datos a la AGPD.

La propia Ley Orgánica de Protección de Datos, establece que, artículo 11, las comunicaciones de datos se deben realizar previo consentimiento del interesado o bien sin el consentimiento pero entonces muy limitadas.

En este caso la comunicación se hizo sin el consentimiento del interesado, logicamente. Veamos pues si AUNA debió comunicar los datos a la Agencia por la vía de la LOPD, aunque ya hemos visto que no debió hacerlo en aplicación de la Ley de Conservación de Datos.

Procede la comunicación de datos a terceros sin el consentimiento del titular cuando (artículo 11.2):
  1. Cuando la cesión está autorizada en una ley.

  2. Cuando se trate de datos recogidos de fuentes accesibles al público.

  3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

  4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

  5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

  6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Como se ha visto, es el caso de cesiones a determinadas instituciones, entra las que no se encuentra la AGPD. Sería planteable si una ley permite la comunicación de esos datos para caer dentro del supuesto del aparatado a).

Ya hemos visto que la Ley de Conservación de Datos no es posible aplicarla y la otra norma que se me ocurre es la propia LOPD, en su artículo 37.1.f que son funciones de la AGPD

Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

Logicamente esta podría ser la vía, pero una interpretación tan amplia como para permitir obtener información con contravención de otra norma no me resulta aceptable, sobre todo si tenemos en cuenta el caracter de Ley ordinaria, no orgánica, del artículo 37 de la LOPD, según se señala en la Disposición Final Segunda.

No existe, por lo tanto, un conflicto que pueda solucionarse por aplicación del principio de jerarquía normativa, sino por otras de las reglas de interpretación en caso de conflicto de normas. En este caso la ley especial es la de conservación de los datos y también es posterior, por lo que entiendo que la AGPD no debió obtener esa información y actuó con contravención del ordenamiento jurídico en la instrucción del procedimiento.

Pero claro, quien es el guapo que se enfrenta con la AGPD, en este caso AUNA y le niega unos datos que en principio parece ella la encargada de controlar, al menos su buena gestión, y con unas sanciones tan desporporcionadas.

La inclusión en un procedimiento sancionador de una prueba ilícita supone un fuerte argumento para la defensa de la empresa sancionada ante la Audiencia Nacional.

Como siempre digo, no estoy por la impunidad, pero sí por la norma, y en este caso estamos ante una sanción de 60.000 euros, y si se regula de tal forma que a esos datos no puede acceder nadie que no sean las personas señaladas en la norma, pues que no se haga.

Lo criticable es que la AGPD se aproveche del miedo de la gente a sus resoluciones para olvidarse del ordenamiento jurídico y realizar peticiones que sabe no puede hacer.

Aunque igual me equivoco y ha puesto los hechos en conocimiento del responsable pertinente para que sancione a AUNA por vulneración de la Ley 25/2007. Quien sabe.

12 comentarios:

  1. No sé si te he entendido bien. Por lo que cuentas, la AGPD debería tener una autorización judicial para pedir esos datos, aplicando la Ley de Conservación de Datos.

    Pero podría llegar a ser que, si no me pierdo nada, la AGPD consiguiese los datos de AUNA antes de que esa ley entrase en vigor. Y por lo poco que sé, lo que regulaba la retención de datos antes era la LSSI, ¿no? Y no sé si allí se requería autorización judicial.

    Pero sí, desde luego la cosa es grave. Es un abuso por el que deberían al menos amonestar a la AGPD.

    ResponderEliminar
  2. Hola David,

    en mi opinión, y al tratarse tal y como dices de un fichero a los efectos de la LOPD, el Art. 40 de la LOPD les da una habilitación (demasiado "genérica" para mi gusto, todo sea dicho) en la que seguramente se ampararan (si no, difícilmente podrían "moverse" si se tuvieran que sujetar a la investigación de delitos graves o similares, de los que la AEPD no entra demasiado). Por supuesto, hay muchas formas diferentes de interpretarlo, el problema de siempre.

    Un saludo

    ResponderEliminar
  3. David,

    Como ya apuntaba Pablo, la Ley 25/2007 no estaba en vigor cuando se produjeron las comunicaciones investigadas por la AEPD, por tanto debiéndose recurrir al antiguo artículo 12 LSSI.

    El problema que se planteaba entonces era que el desarrollo reglamentario de este artículo quedó pediente no sabiéndose de qué datos de tráfico en concreto retener, si bien no obstante con el posterior Real Decreto 424/2005 que desarrolla la LGTel ya se contó con una definición de datos de tráfico y un marco para regular el tratamiento de estos datos personales, entre los que claramente ha de entenderse se incluye la dirección IP en el acceso a Internet o en el envío de correos electrónicos junto con la fecha y la hora de la comunicación en cuestión, pudiendo asociarlos a los datos identificativos de aboandos o usuarios registrados.

    De hecho, la existencia de este artículo 12 LSSI justifica que el fichero de los datos de tráfico (fichero de nivel básico cualificado o medio atenuado conforme al art. 4.4. RMS) existiera con anterioridad a la entrada en vigor del RLOPD y por tanto estos ficheros se benefician de la aplicación de la moratoria en la implantación de las medidas de nivel medio no exigibes hasta la fecha (arts. 15, 16, 21 y 22 RMS) y de la medida de seguridad de nivel alto del artículo 103 RLOPD, Registro de accesos, que tan de cabeza trae a los operadores actualmente para conseguir la conformidad con la Ley 25/2007 y el RLOPD.

    A mí modo de ver, la AEPD debería haber considerado adicionalmente la infracción del régimen aplicable al envío de comunicaciones comerciales por vía electrónica (objetivo final del infractor), para lo que la LGTel le reconoce potestad sancionadora, lo cual además hace que entre en juego la habilitación legal conforme a la que los operadores deben ceder los datos de tráfico solicitados por la AEPD de conformidad con lo dispuesto en el artículo 65.5 RD 424/2005 "suministrar la información requerida por los jueces y tribunales, por el Ministerio Fiscal o por los órganos o entidades que pudieran reclamarla en virtud de las competencias atribuidas por la Ley 32/2003, de 3 de noviembre".

    Por otra parte, volviendo a la Ley 25/2007 existe otro debate. ¿Hasta qué punto la consideración de delitos graves ha de ser exclusivamente interpretada de conformidad con la gravedad de las penas?¿No pueden considerarse infracciones administrativas o delitos leves o faltas que puedan ser graves por ejemplo por su repercusión social?

    En estos casos, como en el caso de la resolución de la AEPD comentada (planteada como infracción LOPD y por tanto fuera del supuesto de cesión de datos de tráfico previsto en el artículo 65.5 RD 424/2005) se ha de aplicar la doctrina del juicio de proporcionalidad, de lo que en mi opinión resulta que aunque nos pese AUNA y Telefónica debían entregar la información a la AEPD, pues el conflicto de derechos se daba a priori entre idéntico derecho fundamental de dos sujetos distintos, si bien con la colaboración de AUNA y Telefónica se identificó finalmente a una persona jurídica. Y no debe perderse de vista el hecho de que las personas jurídicas, aunque no tienen reconocido el derecho a la protección de datos, sí tienen reconodio el secreto a las comunicaciones por lo que debería haberse aplicado igualmente la doctrina del juicio de proporcionalidad valorando el conflicto de derechos en juego.

    Finalmente, habrá que determinar si era necesaria o no orden judicial autorizando la cesión de los datos de tráfico por los operadores a la AEPD. Sería diferente el caso de que se estuviera investigando un delito o una infracción administrativa.

    Tratándose de derechos fundamentales y estando en una investigación de delitos parece que deba mediar orden judicial tal y como prevé la Ley 25/2007, cuestión sobre la que ya debatí en los comentarios de un post anterior aquí con Sergio Carrasco y tomando en cuenta el argumento esgrimido en un Informe jurídico de la AEPD a este respecto en el que viene a decir que no sería necesaria autorización judicial, pues según los artículos 259 y 262 de la Ley de Enjuiciamiento Criminal existe la obligación de poner en conocimiento de la policía los delitos de los que se tuviera conocimiento. Interpretación ésta última de la AEPD con la que no estoy de acuerdo, pues sólo sería aplicable a delitos flagrantes.

    En el caso de las infracciones administrativas investigadas por la AEPD, entiendo que conforme a la doctrina del juicio de proporcionalidad, estando en juego idénticos delitos fundamentales debería hacerse accesible la información a la AEPD sin que medie autorización judicial.

    En cualquier caso, es de destacar que siempre podrán darse desmanes tanto por parte de policías judiciales como de la propia AEPD por lo que es responsabilidad de a quien se solicita la cesión de los datos valorar hasta qué punto el alcance de la cesión es proporcionada pudiendo negarse si estima que ello es neceario para proteger los derechos del afectado o afectados (vamos, al más puro estilo Google en USA y Brasil aunque en el reciente caso YouTube el juez le haya obligado a entregar los datos a Viacom).

    En tal caso, a la policía judicial y a la AEPD no le quedará más remedio que recurrir a los órganos judiciales (Juzgado de Instrucción o ¿Audiencia Nacional?) para solicitar el acceso a los datos personales cuya revelación se pretenda.

    Un saludo

    ResponderEliminar
  4. Hola:

    Muchas gracias por tan interesantes aportaciones, realmente el tema de la entrada en vigor de la norma es importante, pero aquí surge una pregunta que entronca con los principios del derecho sancionador.

    ¿es sancionable la conducta cuando la prueba obtenida es ilícita con una norma que entré en vigor con posterioridad a la fecha de su obtención?

    ¿Existe una especie de retroactividad favorable en este caso?

    Las cuestiones que suscitaís realmente me han intrigado a este respecto. Muchas gracias por tan valiosas contribuciones jurídicas.

    A ver si saco alguna conclusión sobre ello.

    Un saludo.

    ResponderEliminar
  5. David,

    Creo que si se hubiese perseguido el envío de comunicaciones comerciales por vía electrónica no consentidas y no habiendo habilitación legal para hacerlas sin consentimiento, la prueba hubiera sido obtenida lícitamente. En el caso de las infracciones LOPD no está tan claro, dado que debe entrar en juego el juicio de proporcionalidad, cuestión totalmente interpretable que puede dar lugar a intensos debates.

    En España la legislación sobre la protección de la intimidad y el secreto de las comunicaciones hace tiempo que viene necesitando de un buen repaso.

    De todas formas ni en el TS parece haber consenso

    http://www.internautas.org/html/4996.html

    ¿La Ley 25/2007 no debería haber sido orgánica? ¿Y los artículos sobre secreto de las comunicaciones y protección de datos de la LGTel no deberían haber sido igualmente calificados como ley orgánica a diferencia del resto del articulado? Pues, oigan, haber si se ponen de acuerdo. Habrá que esperar a ver qué dice el TC. De todas formas creo que es importante distinguir las comunicaciones en las que los datos de tráfico son públicos (P2P, acceso a sitios de Internet) de los que no lo son (telefonía, correo,...).

    Yo soy partidario de la aplicación de la doctrina consitucional del juicio de proporcionalidad, aún sabiendo que es algo extremadamente complicado de valorar.

    Me temo que la Ley 25/2007 va a traer en saco roto muchas investigaciones basadas en los datos de tráfico y localización retenidos. pero piensa en que podían haberse investigado ambos tipos de infracciones.

    Ya nos contarás el resultado de tus divagaciones sobre este tema.

    Un saludo

    ResponderEliminar
  6. Respecto a la que comenta de pasada Álvaro del Hoyo de que un juez ha obligado a YouTube a entregar datos a Viacom me he encontrado que la comisionada de protección de la intimidad de Ontario (Canadá), Ann Cavoukian, ha escrito una carta abierta a Google pidiéndole que recurra y que proteja el derecho a la intimidad de los usuarios.

    La argumentación de por qué debe protegerlo es muy buena y muestra cómo es importante proteger el derecho al anonimato para que no pueda haber una vigilancia absoluta por parte de terceros (carta en formato PDF).

    ResponderEliminar
  7. Pablo,

    Ya comenté que en el pasado Google dio la de cal en otros asuntos similares, pero también la de arena con la libertad de expresión en China. Ya veremos qué pasa.

    La verdad creo que el juez debería limitar la orden a los casos concretos en los que se hayan infringido derechos de copyright, y no facilitar una cesión general. En su descargo debe decirse que ha basado su decisión en dar por buena la teoría de Google de que las direcciones IP no son datos de carácter personal. Esto puede ser cierto en determinadas circunstancias, pero me temo que en el caso de Google son los menos casos. Tampoco creo que la teoría del Grupo del Art 29 sea la adecuada, pues entonces cualquier dato que pueda cruzase con datos identificativos debe ser considerado dato de carácter personal, pues el acceso a este cruce sería posible por medio de una orden judicial. ¿Y este pequeño requisito les parece que es un esfuerzo no desproporcionado?

    En mi opinión, Ann Cavoukian tiene bastante razón, pero fíjate que Viacom ha pedido también los datos de los empleados de Youtube para tratar de probar que han sido ellos los que en ocasiones han subido imágenes protegidas por copyright.

    En este caso ya no hay debate sobre si las direcciones IP son o no datos de carácter personal, pues Google puede identificar unívocamente a cada usuario de la red corporativa de Youtube. Cuestión por otra parte que se quiere incluir en la revisión en ciernes del paquete de Directivas de Telecomunicaciones, entre otros muchos temas interesantes como la obligación de revelar los problemas de seguridad por operadores y prestadores de servicios de la Sociedad de la Información (por ejemplo banca electrónica), la amplaición de la retención de datos a los operadores de redes mixtas, la implantación del sistema 3 strikes a nivel europeo, el RFID,...

    Ya veremos cómo sigue la cosa.

    Un saludo

    ResponderEliminar
  8. Creo que todos conocemos las interpretaciones "expansivas" que siempre hace la AEPD y que su Presidente en cualquier manifestación pública recuerda.
    Por tanto no me sorprenden nada los métodos que emplea.

    ResponderEliminar
  9. David,

    Tenemos algo de luz en el artículo 28.2 del Real Decreto 428/1993 Estatuto AEPD, en la que se establece la obligación de facilitar el acceso a los locales donde estén los ficheros, si bien tomando en cuenta las garantías de inviolabilidad del domicilio.

    http://noticias.juridicas.com/base_datos/Admin/rd428-1993.html#a28

    ¿Significa ello que entonces la AEPD ha de pedir autorización judicial?¿Ante un órgano de la jurisdicción contencioso-administrativa?

    El caso que planteas podría tener una respuesta similar, ¿no?

    Salu2

    ResponderEliminar
  10. Al parecer el TC ha reconocido que es igualmente válida una resolución administrativa para ordenar una intromisión legítima sobre derechos fundamentales, siempre y cuando se respeten el resto de garantías exigibles.

    STC 22/194 (inviolabilidad del domicilio)

    http://www.boe.es/g/es/bases_datos_tc/doc.php?coleccion=tc&id=SENTENCIA-1984-0022

    Buscad "resolución administrativa"

    Salu2

    ResponderEliminar
  11. Pues tienes razón, deincognito. No la he leído, pero poner algo como:

    «Si la Administración de Justicia puede en ejecución de una Sentencia acordar el lanzamiento de un inquilino, por ejemplo, sin que sea preciso un mandamiento de entrada domiciliaria, no hay razón alguna que obligue a pensar que la Administración,
    igualmente en ejecución de una resolución administrativa firme, tan ejecutoria por definición legal como una Sentencia, tenga que proveerse de ese mandamiento, que, por lo demás, le será difícil, si no imposible obtener.»

    No soy abogado (y me puedo estar columpiando y mucho) pero entiendo que si se puede aplicar aquí, la cuestión es grave, porque si una resolución administrativa firme (que aquí no lo sería porque están instruyendo un proceso, si no me equivoco) puede no necesita autorización (o mandato) judicial para conseguir unos datos sobre los que se investiga, es lo mismo que decir que la Administración es juez y parte en los procesos que instruye.

    Y la idea de que haya autorización judicial, que la parte que investiga no sea la misma que la que autoriza la investigación, es prevenir abusos. Aunque no sean personales, sino administrativos, pero para prevenirlos.

    Supongo que algo estará mal aquí porque no tiene mucho sentido las conclusiones a las que se llegaría en este caso con lo que entiendo que plantea el TC.

    ResponderEliminar
  12. David,

    Al respecto de algo que se trato de soslayo por tí y directamente por mí mismo.
    Ver Informe 2008-0420 AEPD.

    Según la AEPD las obligaciones LOPD exigibles en el tratamiento para la conservación de datos de tráfico y localización lo son tanto para los datos de personas físicas como DE personas jurídicas, pero ¿qué pasaría si no se cumplen?

    Veo difícil aplicar el régimen sancionador de la LOPD en caso de infracción de obligaciones LOPD en atención a los datos de personas jurídicas usuarios o abonados de servicios de telecomunicaciones (art.1 LOPD y art. 2.2 RLOPD), pero sí que se podría aplicar el régimen sancionador de la Ley 32/2003 al que remite la Ley 25/2007 (ver arts. 53.z y 54.r Ley 32/2003).

    Un saludo

    ResponderEliminar