Contacto

Para consultas jurídicas "david @ 451.legal"

martes, 29 de octubre de 2019

El acceso por el INE a los datos de los operadores de telecomunicaciones


Las ventajas del método son evidentes, pues habiendo más números de móviles que ciudadanos, es sencillo colegir que casi todo el mundo, incluidos menores, porta uno en algún momento, así que la muestra parece inmejorable.

Pues bien, esta medida, a mi juicio, plantea complejos problemas jurídicos en base a la normativa aplicable, hasta el punto de considerar que, a mi juicio, no es muy correcto este proceder, ni del INE ni de las operadoras.

En primer lugar, hay que ser conscientes de que lo que conocemos como datos de tráfico (los datos de todo tipo generados por la prestación de un servicio de comunicaciones) equivalen a tener un rastreador continuamente registrando nuestra posición geográfica y nuestras interacciones con terceros (ya sean personas o servicios en internet). Es decir, una monitorización constante.

Esto no debe olvidarse, pues equivale a tener un gps en cada paseo, que damos, en cada desplazamiento, etc.

Eso es lo que permiten los dispositivos y las técnicas de comunicación que empleamos. Ciertamente, son un volumen de datos muy superior a los necesarios para la mera prestación del servicio por parte del operador, pues con poco mas que los necesarios para la facturación podrían desarrollar su actividad.

Pero, dadas las posibilidades que se dan en internet, y las exigencias de responsabilidades, entre ellas la comisión de delitos, se determinó la necesidad de obligar a todos los operadores a recopilar todos los datos, todo el tiempo (olvidémonos del contenido de las comunicaciones, hablamos sólo de los "metadatos" de esas comunicaciones), con el fin de que pudieran investigarse delitos, en principio graves como el terrorismo, etc.

Es decir, se admite la necesidad de obligar a que todos los operadores recopilen todos esos datos, pero se imponen unas restricciones en el uso que puede hacerse de los mismos, y ello es así, porque como dijo el Tribunal de Justicia en la sentencia que anuló la Directiva de Conservación de Datos:
"Con arreglo al artículo 52, apartado 1, de la Carta, cualquier limitación del ejercicio de los derechos y libertades reconocidos por ésta deberá ser establecida por la ley, respetar su contenido esencial y, dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones a dichos derechos y libertades cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.
En lo que atañe al contenido esencial del derecho fundamental al respeto de la vida privada y de los otros derechos reconocidos en el artículo 7 de la Carta, debe señalarse que, aunque la conservación de datos que la Directiva 2006/24 impone constituye una injerencia especialmente grave en dichos derechos, no puede vulnerar dicho contenido puesto que, como se desprende de su artículo 1, apartado 2, la Directiva no permite conocer el contenido de las comunicaciones electrónicas como tal."
Otro aspecto importante es que la recopilación de estos datos, como vemos, supone una "injerencia especialmente grave" en dos artículos de la Carta de Derechos Fundamentales de la Unión, pero no sólo de la protección de datos (artículo 8) sino también en el derecho al respeto a la vida privada y a las comunicaciones (artículo 7). Es decir, estamos ante una doble afectación que supera las previsiones relativas a las normas de protección de datos.

Es por ello que el caso concreto del INE y la cesión no es, al menos en exclusiva, un asunto de la regulación sobre protección de datos que se salva con la "anonimización" de estos. Hay que analizarlo desde la norma que específicamente regula la conservación.

La Directiva, como ya he dicho, se anuló mediante sentencia del TJUE, pero en España ha seguido vigente la Ley 25/2007 de Conservación de Datos, que era el mecanismo de transposición de aquella y que se ha considerado compatible con la sentencia referida (sobre lo que tengo dudas, pero bueno...).

Pues bien, esta ley (ampliamente tratada en este blog) establece una serie de obligaciones y limitaciones a las operadoras en la recopilación y uso de los datos que se generan, lo queramos o no, por el uso de estos sistemas de comunicación.

Así, se dispone que:
Artículo 1. Objeto de la Ley.

1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.
3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas.
 Los datos de localización, que es de lo que hablaríamos aquí, serían, según el artículo 2:
"1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta Ley, son los siguientes
"f) Datos necesarios para identificar la localización del equipo de comunicación móvil:
1.° La etiqueta de localización (identificador de celda) al inicio de la comunicación.
2.° Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones."
Es decir, son datos que se generan y son útiles a los fines que declara el INE sobre movimientos, están incluidos en este caso y su uso y tratamiento se deriva de esta norma.

Como digo, en principio, toda esta información generada, por la importante injerencia en derechos fundamentales, esta sometida a un estricto límite de uso, estableciéndose en el artículo 4 que:
1. Los sujetos obligados adoptarán las medidas necesarias para garantizar que los datos especificados en el artículo 3 de esta Ley se conserven de conformidad con lo dispuesto en ella, en la medida en que sean generados o tratados por aquéllos en el marco de la prestación de los servicios de comunicaciones de que se trate.
En ningún caso, los sujetos obligados podrán aprovechar o utilizar los registros generados, fuera de los supuestos de autorización fijados en el artículo 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
Como se puede leer, en ningún caso podrán usarse estos registros generados, los teléfonos en una celda es un registro generado, fuera de la habilitación del artículo 38 de la LGTel, ahora 48 LGtel que dice que:
"2. Respecto a la protección de datos personales y la privacidad en relación con los datos de tráfico y los datos de localización distintos de los datos de tráfico, los usuarios finales de los servicios de comunicaciones electrónicas tendrán los siguientes derechos:

c) A que sólo se proceda al tratamiento de sus datos de localización distintos a los datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento informado y únicamente en la medida y por el tiempo necesarios para la prestación, en su caso, de servicios de valor añadido, con conocimiento inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y duración del mismo y el servicio de valor añadido que vaya a ser prestado. Los usuarios finales dispondrán del derecho de retirar su consentimiento en cualquier momento y con efecto inmediato para el tratamiento de los datos de localización distintos de tráfico."
Y aquí es donde está la madre de la discusión y lo que determinará si es compatible o no lo que se quiere hacer con la norma.

Hay que destacar que, por lo que se dice, son datos de localización diferentes a los de tráfico, pues parece ser que se cederán los datos generados por el uso de las antenas, no del intercambio de llamadas u otros.

Igualmente se dice que se habrán hecho anónimos, como exige este mismo artículo.

Ahora bien, es cierto que la redacción del artículo nos pone ante dos posibles interpretaciones de su lectura;

Una primera, que se trata de dos supuestos diferentes, uno para el caso de los datos de localización anonimizados, con los que podría hacerse de todo, y otro para los consentidos para la prestación de servicios de valor añadido.  Esto admitiría la comercialización de los datos de localización obtenidos al INE y a cualquier empresa o entidad.

Y una segunda, en la que tanto los datos anonimizados como los consentidos se pueden emplear únicamente en relación a la prestación de servicios de valor añadido, lo que excluiría lo que las operadoras hacen a cambio de 500 mil euros, ya que la finalidad comercial es evidente.

Como vemos es un matiz muy pequeño pero muy relevante.

En mi opinión, por la compatibilidad con los principios que rigen tanto la conservación de datos y la naturaleza de la injerencia que supone en derechos fundamentales, la respuesta correcta es la dos, que impediría usar esos datos de manera comercial (fuera de la prestación de servicios al usuario) sin el consentimiento del usuario.

Pero, además de lo anterior, tampoco veo compatible una medida como la propuesta con los propios principios de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública que en su artículo 4 fija el principio de proporcionalidad:
"5. En virtud del principio de proporcionalidad, se observará el criterio de correspondencia entre la cuantía de la información que se solicita y los resultados que de su tratamiento se pretende obtener."
¿Como va a ser proporcional obtener información de todos los móviles de España? ¿Es seguro que no se han planteado otras opciones como muestreos o usar sólo datos de los que se obtiene el consentimiento?


Otra pregunta que me surge es, si hay entidades obligadas a entregar datos para cumplir con la función pública estadística, como marca la ley, ¿porqué en este caso se han pagado 500 mil euros? Es posible que se argumente que son por los costes de generación, pero parece una cantidad un poco alta, para lo que dice el artículo 12:
"1. La información se solicitará siempre directamente a las personas o entidades que proceda, ya sea mediante correo, visita personal de agentes debidamente acreditados o cualquier otro modo que asegure la comunicación directa de aquéllos con los servicios estadísticos o sus agentes.
2. La información requerida podrá facilitarse por escrito, mediante soportes magnéticos o usando otros procedimientos que permitan su tratamiento informático, siempre de acuerdo con lo previsto en las normas que regulen cada estadística en particular.
3. Los gastos ocasionados a los informantes por los envíos y comunicaciones a que dé lugar la realización de estadísticas para fines estatales, se sufragarán con cargo a los presupuestos de los servicios estadísticos."


En definitiva, seguimos con el interés de todo tipo de organismos de acceder al mas goloso pastel de datos en la actualidad, los de los operadores de comunicaciones, dado que nuestra vida digital representa un poderoso activo para múltiples fines, algunos bienintencionados, no lo dudo,pero que nos abren un camino, cada vez mas clara a una sociedad del control a cambio de comodidades.

En nosotros está elegir si renunciamos a las mismas a cambio de mantener ciertos derechos o no (aunque creo que la tendencia es clara).

1 comentario:

  1. Pablo Daniel Moyano Ilundain12 de noviembre de 2019, 2:08:00 CET

    Peligroso avance en materia de privacidad

    ResponderEliminar