Comunicación pública, P2P y conservación de datos. El TJUE y el caso MIRCOM International

Hoy se ha conocido la esperada sentencia del asunto MIRCOM International del TJUE, que resuelve un asunto que afecta de manera directa a las infracciones de derechos de propiedad intelectual usando sistemas para compartir entre iguales o P2P. En concreto, en este caso, sistemas tipo BIttorrent.

Digo que era esperada, porque también era el procedimiento que había servido para paralizar, por prejudicialidad civil, las demandas que se había interpuesto contra usuarios de estos sistemas en España, en concreto contra los usuarios de Euskaltel identificados por varias productoras de películas, ante los juzgados de lo mercantil de Bizkaia.

Eran tantas las similitudes entre asuntos que, aunque  se pidió en los procedimientos de aquí una cuestión prejudicial en el mismo sentido y no se admitió, lo prudente era esperar al pronunciamiento del tribunal europeo con el fin de no tener interpretaciones contrarias.

El análisis de la cuestión se planteó por el Tribunal de Amberes desde dos grandes bloques. Por un lado, la existencia o no de infracción de propiedad intelectual de quienes comparten en redes P2P. Es decir, si compartir un archivo en una red de este tipo representa un acto de comunicación pública, aunque la transmisión sea de un fragmento que, sin el resto del archivo, no sirve para nada.

Y por otro lado, si la recopilación de las direcciones IP de quienes comparten el archivo en estos sistemas, así como la solicitud de acceso a la identidad y direcciones de las personas efectuada a los operadores es conforme a la protección de datos, al secreto de las comunicaciones y al respeto a la vida privada consagradas en la Carta Europea de Derechos Fundamentales.

Pues bien, desde el punto de vista de la propiedad intelectual, se confirma que, al margen del tamaño de los fragmentos que inician la transmisión entre los usuarios, lo que se comparte no son fragmentos de la obra, sino fragmentos del archivo (o soporte de la obra) que contiene la obra:

"Así pues, carece de importancia el hecho de que las partes que se transmiten sean inservibles por sí solas, dado que lo que se pone a disposición es el archivo que contiene la obra, es decir, la obra en formato digital."

Pero ojo, añade una matización el Tribunal importante. Ya he criticado en reiteradas ocasiones que en la ampliación y/o redefinición que se está haciendo del concepto de comunicación pública desde la Sentencia Svennson en adelante, se produce una adición a un hecho objetivo, como puede ser poner a disposición una obra, como es la voluntad o conocimiento de todos los extremos de tal acto. Así, el TJUE dice:

"Por consiguiente, cualquier acto mediante el cual un usuario da acceso a obras u otros objetos protegidos, con pleno conocimiento de las consecuencias de su comportamiento, puede constituir un acto de puesta a disposición a efectos del artículo 3, apartados 1 y 2, de la Directiva 2001/29 (véase, en este sentido, la sentencia de 9 de marzo de 2021, VG Bild-Kunst, C‑392/19, EU:C:2021:181, apartado 30 y jurisprudencia citada)."

Es decir, es necesario, para apreciar la existencia de comunicación pública que quien comparte en P2P es consciente de las consecuencias de su comportamiento.

"Siempre que se ponga de manifiesto —extremo este que corresponde verificar al tribunal remitente— que los usuarios en cuestión han decidido utilizar ese software y han dado su consentimiento a su ejecución tras haber sido debidamente informados sobre sus características, debe considerarse que tales usuarios actúan con pleno conocimiento de su comportamiento y de las consecuencias que este puede tener. En efecto, una vez que se ha demostrado que han decidido activamente utilizar dicho software, el carácter deliberado de su comportamiento no queda en modo alguno desvirtuado por el hecho de que sea el propio software el que automáticamente dé lugar a la carga."

Es decir, debe darse como elemento de prueba para la apreciación de la conducta infractora la información recibida por el usuario de las características del software, básicamente a estos efectos que al mismo tiempo que descargas compartes. Y así lo reitera en las conclusiones de la primera cuestión prejudicial:

"[...] Carece de pertinencia el hecho de que, como consecuencia de la configuración del software de intercambio cliente-BitTorrent, sea el propio software el que automáticamente dé lugar a la carga mencionada, si el usuario, desde el equipo terminal en que se produce la referida carga, ha decidido utilizar ese software y ha dado su consentimiento a su ejecución tras haber sido debidamente informado sobre sus características."

Evidentemente, la acreditación de este tipo de situaciones puede ser compleja para los demandantes, pero en todo caso, parece claro que los pronunciamientos judiciales deben albergar razonamientos sobre este extremo probatorio, sin que quepa la inversión de la carga de la prueba contra el usuario.

En relación al segundo de los bloques antes señalados, tiene a su vez dos apartados, uno relativo a la recopilación que hace el titular de derechos de las IP y otro el de la posición del operador de telecomunicaciones para entregar el resto de datos que permitan demandar.

Pues bien, sobre el primer aspecto, el TJUE reconoce que se trata de un tratamiento de datos personales, que está sometido al RGPD:

"Por consiguiente, el registro de tales direcciones para su posterior utilización en el contexto de acciones judiciales constituye un tratamiento en el sentido del artículo 4, punto 2, del Reglamento 2016/679."

Esta regulación exige

"[...] tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero persigan un interés legítimo; en segundo lugar, que el tratamiento de los datos personales sea necesario para la satisfacción de ese interés legítimo, y, en tercer lugar, que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado en la protección de los datos"

Los dos primeros requisitos son cumplidos sin mayor problema, pues no hay otra forma que con la IP de saber quien lesiona tus derechos y tener esta información es requisito para poder tener una tutela judicial efectiva.

Es en el tercero de los requisitos, donde admite un mayor juego en la apreciación directa a los tribunales inferiores, dado que dependerá de cada asunto individualmente contemplado.

Se indica que aquí se trata de una afectación a dos ámbitos, el de la protección de datos (RGPD) y la privacidad en las comunicaciones electrónicas, Directiva 2002/58 y que es necesario el análisis del juego de protección de ambas normas al caso concreto:

"Por consiguiente, para que un tratamiento como el registro de las direcciones IP de las personas cuyas conexiones a Internet se hayan utilizado para cargar partes de archivos que contengan obras protegidas a través de redes entre pares (peer-to-peer), con el objetivo de presentar una petición de divulgación de los nombres y de las direcciones postales de los titulares de esas direcciones IP, pueda considerarse lícito por cumplir los requisitos establecidos en el Reglamento 2016/679, es necesario, en particular, que se compruebe si ese tratamiento cumple las disposiciones antes mencionadas de la Directiva 2002/58, puesto que esta concreta, para los usuarios de los medios de comunicaciones electrónicas, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales [...]"

Y concluye que, al no tener datos suficientes, deberá ser el tribunal de instancia quien aprecie estos elementos:

"Pues bien, al no existir en la resolución de remisión precisiones relativas a la justificación jurídica del acceso de Mircom a las direcciones IP que Telenet conserva, el Tribunal de Justicia no está en condiciones de proporcionar al tribunal remitente orientaciones útiles sobre si un tratamiento como el efectuado inicialmente, consistente en el registro de las mencionadas direcciones IP, constituye, teniendo en cuenta las normas enunciadas en la Directiva 2002/58 y el requisito relativo a la ponderación de los derechos y los intereses en conflicto, una vulneración de los mencionados derechos fundamentales. Corresponderá al órgano jurisdiccional remitente llevar a cabo un análisis de la normativa nacional pertinente a la luz del Derecho de la Unión, en particular de los artículos 5, 6 y 15 de la Directiva 2002/58."

En el caso de Euskaltel, el problema que existiría es que este análisis, en teoría, lo ha efectuado la Audiencia Provincial de Bizkaia al analizar las diligencias preliminares, pero claro, los términos del debate en tal ocasión no implicaban estos elementos, que sí están expuestos en las contestaciones a la demanda efectuadas por los usuarios. Entendemos que, en todo caso, los pronunciamientos deben valorar o considerar estos aspectos, al margen de lo definido inicialmente por la Audiencia Provincial, pues quien está en mejor disposición para valorar la intromisión o no es el juzgado que resuelve individualmente el caso de cada uno de los afectados.

Y, lo que para mí es lo mas relevante, en relación al acceso a los datos conservados por el operador de telecomunicaciones, se dice que simplemente se entregaron los nombre y direcciones postales de los usuarios a los que correspondían las direcciones IP, pero ningún dato adicional. Esto presenta diferencias con el caso Euskaltel, ya que en los datos proporcionados se incluía información adicional, como el correo electrónico, teléfonos, duración de conexión, etc., que pueden tener información sobre puesto de trabajo. Así puede que, en el caso de Euskaltel, se vaya mas allá de lo que dice aquí el TJUE:

"En efecto, tales datos relativos a la identidad de los usuarios de los medios de comunicaciones electrónicas normalmente no permiten, por sí solos, conocer la fecha, la hora, la duración y los destinatarios de las comunicaciones efectuadas, ni los lugares en los que se produjeron estas comunicaciones o la frecuencia de estas con ciertas personas durante un período de tiempo determinado, por lo que no facilitan —al margen de las señas de los usuarios de los medios de comunicaciones electrónicas, como su identidad y sus direcciones— ninguna información sobre las comunicaciones transmitidas y, en consecuencia, sobre su vida privada. De este modo, la injerencia que supone una medida relativa a estos datos no puede, en principio, calificarse de grave"

Esto sigue la línea de flexibilización de acceso a los datos de tráfico que se han visto en las recientes sentencias del TJUE, pero aún así, sólo en relación a datos muy concretos.

Como ya viene resolviendo desde el Caso Promusicae, el TJUE indica que no se opone a la existencia de una ley nacional que habilite la entrega de datos de tráfico en procedimientos de tutela de la propiedad intelectual, pero siempre con garantías. Igual que en cuestiones anteriores, el TJUE en este caso dice no disponer de elementos de juicio para valorar estos aspectos:

"En la medida en que la resolución de remisión no contiene ninguna indicación al respecto, el tribunal remitente deberá comprobar el fundamento jurídico tanto de la conservación por parte de Telenet de las direcciones IP cuya comunicación solicita Mircom, como del posible acceso de Mircom a esas direcciones."

Pero este aspecto debe ser evaluado por el Tribunal de Instancia:

"Si de las comprobaciones realizadas por el tribunal remitente se dedujera que existen medidas legales nacionales, en el sentido del artículo 15, apartado 1, de la Directiva 2002/58, que limitan el alcance de las normas establecidas en los artículos 5 y 6 de esa Directiva y que podrían aplicarse útilmente al presente asunto, y suponiendo que igualmente resultara, basándose en los elementos de interpretación aportados por el Tribunal de Justicia en el conjunto de la presente sentencia, que Mircom está legitimada y que su petición de información está justificada, es proporcionada y no es abusiva, procederá considerar que los tratamientos a los que se ha hecho referencia son lícitos en el sentido del Reglamento 2016/679."

En el caso de Euskaltel ya identifiqué la trampa que hizo la Audiencia Provincial, al decir que, aunque la ley nacional sólo contempla el acceso a los datos de tráfico para supuestos determinados, primero entregaba los datos para después poder evaluar la concurrencia de los requisitos, lo que es absurdo de todo punto. El artículo 256.1.11 de la LEC no puede ser más claro:

"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual, y mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas"

Por eso reitero lo que dije en su momento, que es la limitación legal la que pretende garantizar la compatibilidad de la norma con el respeto a los principios del ordenamiento jurídico europeo, si no observamos ese respeto nos estará faltando el elemento habilitante.

Como he indicado, la ley se hace para poder tener un juicio de proporcionalidad que la haga compatible con la Jurisprudencia del TJUE y los principios aplicables a la misma, pero resulta que luego la AP se salta ese principio abriendo indiscriminadamente la medida.

Lo lógico sería verificar los requisitos legales antes de la adopción de la misma y no luego a posteriori, cuando, además, no se prevé un mecanismo para ello. 

Como digo, me parece un argumento tramposo, máxime cuando se puede investigar si una IP participa o comparte muchos otros ficheros. Es decir, no es cierto técnicamente que sea necesario conocer al usuario real antes de saber si realiza la conducta habilitante de la Diligencia Preliminar.

Una vez resuelto en este sentido por la Audiencia Provincial, el juzgado de lo mercantil no tiene otra opción que cumplir lo que le ordenan y requerir a la operadora, en este caso Euskaltel, para que entregue los datos personales de las direcciones IP que solicita la parte demandante.

En definitiva, ahora esperemos que los juzgados de lo mercantil tomen conocimiento de esta resolución y procedan a dictar las sentencias pendientes, en la confianza de que el TJUE no hace sino reforzar las apreciaciones que en su momento se expusieron, relativas, sobre todo, a la necesidad de observar cada caso individualmente desde el respeto a unos principios que son evidentes, aunque la apreciación es que el tiempo va debilitando.

La conservación de datos, el TJUE y límites en el acceso a datos recopilados en comunicaciones electrónicas

En un viejo clásico de este blog, traigo hoy una reciente sentencia a propósito de la Conservación de Datos, del Tribunal de Justicia de la UE en la que se analiza la aplicabilidad de la norma estonia a la investigación y persecución de delitos graves y el acceso a los datos obtenidos.

Lógicamente, esto lo pongo en relación con la compatibilidad de la norma española (incluyendo la parte relativa a infracciones civiles contra la propiedad intelectual que se está cuestionando también en el TJUE en el procedimiento que ha servido para paralizar el caso Euskaltel) y el convencimiento que, personalmente, mantengo desde casi la aprobación de la Ley 25/2007 de los graves problemas que tiene con el derecho comunitario.

Pues bien, en la sentencia del caso C‑746/18, seguido contra un ciudadano acusado de varios delitos no graves (robos o hurtos, básicamente), básicamente, lo que señala la sentencia como hechos relevantes es que:

"Para condenar a H. K. por tales hechos, el Viru Maakohus (Tribunal de Primera Instancia de Viru) se basó, entre otros, en varios atestados confeccionados a partir de datos relativos a las comunicaciones electrónicas, con arreglo al artículo 1111, apartado 2, de la Ley de Comunicaciones Electrónicas, recabados por la autoridad investigadora de un proveedor de servicios de telecomunicaciones electrónicas durante el procedimiento de instrucción, después de haber obtenido varias autorizaciones al efecto del Viru Ringkonnaprokuratuur (Fiscalía de Distrito de Viru, Estonia), de conformidad con el artículo 901 de la Ley de Enjuiciamiento Criminal. Estas autorizaciones, concedidas el 28 de enero y el 2 de febrero de 2015, el 2 de noviembre de 2015 y el 25 de febrero de 2016, se referían a datos relativos a varios números de teléfono de H. K. y a distintas identidades internacionales del equipo móvil de esta, respecto al período comprendido entre el 1 de enero y el 2 de febrero de 2015, al 21 de septiembre de 2015, y al período comprendido entre el 1 de marzo de 2015 y el 19 de febrero de 2016."

La conclusión a la que llega el TJUE es que:

"El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que se opone a una normativa nacional que autoriza el acceso de autoridades públicas a un conjunto de datos de tráfico o de localización que pueden facilitar información sobre las comunicaciones efectuadas por un usuario de un medio de comunicación electrónica o sobre la localización de los equipos terminales que utilice y permitir extraer conclusiones precisas sobre su vida privada, a efectos de la prevención, la investigación, el descubrimiento y la persecución de delitos, sin que dicho acceso se limite a procedimientos que tengan por objeto la lucha contra la delincuencia grave o la prevención de amenazas graves contra la seguridad pública, y ello con independencia de la duración del período para el que se solicite acceder a los citados datos y de la cantidad o naturaleza de los datos disponibles en ese período.

2) El artículo 15, apartado 1, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que se opone a una normativa nacional que atribuye competencia al Ministerio Fiscal —cuya función es dirigir el procedimiento de instrucción penal y ejercer, en su caso, la acusación pública en un procedimiento posterior— para autorizar el acceso de una autoridad pública a los datos de tráfico y de localización a efectos de la instrucción penal.

A mas y mas, hay que recordar que estas consideraciones ya están presentes en la sentencia de  la Gran Sala, de octubre de 2020, caso Quadrature du net, en la que la compatibilidad con el ordenamiento jurídico comunitario lo sea cuando la recopilación masiva y no discriminada de información de los usuarios sea "en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible".

 

A este respecto, hay que señalar que en España, esa recopilación prevista en las normas no tiene ningún tipo de límite, pues de hecho se amplió a supuestos de delitos ordinarios, como la investigación de cualquiera que suceda en internet, con independencia de la pena o de la amenaza para la seguridad general de la población como criterio. Ahora bien, en esta sentencia el conflicto no se da en la mera recopilación, sino en el acceso al conjunto de los datos recopilados, aspecto ya tratado en la cuestión prejudicial de la AP de Tarragona, por ejemplo.

Es decir, que las solicitudes de acceso a la información conservada por los operadores deben tener en cuenta la lesión que tal recopilación provoca y limitar la solicitud de acceso de manera proporcionada. No es extraño ver solicitudes de los juzgados a operadoras en que el conjunto de datos que se pretende excede, con mucho, aquellos estrictamente necesarios.

Podemos ver, por ejemplo, solicitudes genéricas de acceso a datos en rangos horarios, por antenas de telefonía móvil o peticiones que exponen muchos datos del usuario que los meramente relativos al momento en que se detecta el delito, por ejemplo.

Es este acceso excesivo el que es cuestionado por esta sentencia. Por eso dice, en su considerando 38º:

"Por consiguiente, para cumplir el requisito de proporcionalidad, según el cual las excepciones a la protección de los datos personales y las restricciones a dicha protección deben establecerse sin sobrepasar los límites de lo estrictamente necesario (sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 130 y jurisprudencia citada), corresponde a las autoridades nacionales competentes garantizar, en cada supuesto, que tanto las categorías de datos contemplados como la duración para la que se solicita el acceso a los mismos se limiten, en función de las circunstancias del caso, a lo estrictamente necesario a efectos de la investigación de que se trate."

Esto nos sitúa ante la necesidad de que el tribunal que solicita el acceso acote y razone el alcance de la medida, y no se establezca una suerte de concesión "copia-pega" de otras anteriores a todos los datos solicitados en los oficios policiales, por ejemplo.

 

Así, podríamos solicitar la anulación de la incorporación al proceso de pruebas obtenidas con este exceso de información, en relación a lo investigado, si el juzgado las solicita y obtiene.

En lo que respecta a la consideración final sobre la potestad del Ministerio Fiscal para autorizar o solicitar este acceso, ciertamente no es el mismo caso que en España, pero sería bueno tener en cuenta como se configuran ciertas cuestiones en el TJUE en relación a las potestades de la Fiscalía en el caso de que se quiera modificar su estatuto y otorgarles la instrucción de los delitos, como sucede en Estonia.

El acceso a los datos de las antenas de telefonía para controlar pandemias

En las circunstancias actuales, en las que estamos asistiendo a una pandemia de alcance global, uno de los mecanismos que se están empleando, en particular en Asia, para su contención es el control mediante teléfonos móviles de los movimientos de los ciudadanos.

Ya sea mediante la creación de mapas de calor de movimientos de personas o grupos, mediante sistemas de lectura de códigos que permiten o no el paso o, incluso, mediante sistemas de localización permanente que avisan a las autoridades si se pierde un rastro, el hecho de que casi todos dispongamos de un rastreador permanente en nuestro bolsillo ofrece grandes posibilidades para este tipo de iniciativas.

La aparente eficacia de estas medidas, asociada al cumplimiento de confinamientos poblacionales como nunca antes en la historia de la humanidad, ha generado un interés de nuestros estados por replicar estas disposiciones por si pudieran resultar igual de exitosas.

En general hablamos de 3 niveles diferentes de intensidad, desde los meros mapas de calor que analizan un volumen de movimientos de los portadores de los móviles, sin asociación a la persona concreta, hasta un sistema total en el que se sabe qué y donde está cada persona individualmente y se puede confirmar si está o no saltándose el confinamiento, pasando por algo intermedio.

Las propias medidas parecen excepcionales, como las propias circunstancias lo son, así que es normal que podamos plantearnos la idea de hacerlo en nuestro país con la esperanza de obtener como resultado una pronta terminación de esta pandemia.

Pues bien, hay dos fórmulas de establecer un sistema de control sobre los móviles, por un lado mediante la instalación de una aplicación en el móvil del usuario, ya sea voluntaria u obligatoria, que informe de aspectos relevantes, como movimientos, etc. Y la otra forma sería mediante la detección de los movimientos usando para ello las antenas de telefonía móvil que dan servicio al terminal.

Esta segunda fórmula es la que parece que está en estudio y en la que me voy a parar, pues como saben en este blog se habla de conservación de datos y del uso y destino que se puede dar a los mismos.

Como decía, como saben los lectores de este blog, en España todos los datos que se generan para prestar el servicio de telecomunicaciones son recopilados y conservados durante 12 meses. Esto incluye, claro está, desde qué antena se nos ha prestado el servicio, así que se nos puede ubicar con cierto margen de precisión.

Estos datos que recopilan los operadores son unos datos "especiales", no son meros datos personales, ya que por su propia naturaleza de como son generados y conservados, tienen un régimen especial, como así lo señaló el Tribunal de Justicia de la Unión Europea en su sentencia de abril de 2014 al anular la Directiva que los regulaba:

Por lo que se refiere a la cuestión de si la injerencia que supone la Directiva 2006/24 se limita a lo estrictamente necesario, procede señalar que esta Directiva exige, conforme a su artículo 3 en relación con su artículo 5, apartado 1, la conservación de todos los datos de tráfico relativos a la telefonía fija, la telefonía móvil, el acceso a Internet, el correo electrónico por Internet y la telefonía por Internet. Por lo tanto, es aplicable a todos los medios de comunicación electrónica, cuyo uso está muy extendido y que tienen una importancia creciente en la vida cotidiana de las personas. Además, a tenor de su artículo 3, la Directiva comprende a todos los abonados y usuarios registrados. En consecuencia, constituye una injerencia en los derechos fundamentales de prácticamente toda la población europea. 

"[la mera recopilación] ...constituye una injerencia en los derechos fundamentales de gran magnitud y especial gravedad"

Como se puede apreciar de manera clara en esta sentencia, es evidente que estamos ante una potestad que se choca con derechos fundamentales reconocidos en la Carta de Derechos Fundamentales de la Unión Europea. Esto no quiere decir que los derechos fundamentales sean absolutos y que deban prevalecer sobre cualquier circunstancia, pues los derechos no funcionan en una escala, sino que se ponderan cuando hay un conflicto para resolverlo de la manera mas adecuada.

Así, la propia Carta de Derechos, permite que se limiten los derechos reconocidos en su propio texto, como dispone el artículo 52:

1.   Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

Es decir, podemos limitar el derecho a la intimidad, sin problema, siempre que lo hagamos respetando estos principios y criterios. Que no es algo extraño, pues es lo mismo que vienen interpretando nuestros tribunales nacionales en todo tipo de materias.

Pero el primer requisito ineludible es que se haga mediante una ley (una norma jurídica con alcance adecuado, se entiende, no tiene porque ser una ley), es decir un instrumento jurídico formal, aprobado con las garantías suficientes, claro está.

Pues bien, en la Ley 25/2007, que es la que en nuestro ordenamiento interno limita el contenido de los derechos de los artículo 7 y 8 de la CDFUE no hay ninguna previsión respecto del acceso a los datos por parte de los poderes públicos en circunstancias que sean diferentes a la persecución, investigación y enjuiciamiento de los delitos (aunque como sabemos esto se ampliado por el legislador nacional en otras normas).

Por lo tanto esa ley no nos abre una vía adecuada para acceder a estos datos en estas circunstancias. Pero ahora mismo estamos bajo un régimen especial, cual es el del estado de alarma. Esta situación se regula por la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio y por el Real Decreto 463/2020 que la desarrolla en este momento.

Pero el referido Real Decreto sólo establece limitaciones en los derechos fundamentales que son permitidos bajo el estado de alarma según la LO 4/1981, a saber:

Con independencia de lo dispuesto en el artículo anterior, el decreto de declaración del estado de alarma, o los sucesivos que durante su vigencia se dicten, podrán acordar las medidas siguientes:
a) Limitar la circulación o permanencia de personas o vehículos en horas y lugares determinados, o condicionarlas al cumplimiento de ciertos requisitos.
b) Practicar requisas temporales de todo tipo de bienes e imponer prestaciones personales obligatorias.
c) Intervenir y ocupar transitoriamente industrias, fábricas, talleres, explotaciones o locales de cualquier naturaleza, con excepción de domicilios privados, dando cuenta de ello a los Ministerios interesados.
d) Limitar o racionar el uso de servicios o el consumo de artículos de primera necesidad.
e) Impartir las órdenes necesarias para asegurar el abastecimiento de los mercados y el funcionamiento de los servicios de los centros de producción afectados por el apartado d) del artículo cuarto.

Como se ve, ninguno de ellos, afectaría a los datos conservados por las operadoras, salvo que se interprete que, dentro del control de la limitación de circulación de personas se deban usar para su efectividad, pero parece demasiado extensivo.

Por lo tanto, en las actuales circunstancias, no tenemos un mecanismo jurídico con garantías para poder desarrollar las medidas que habiliten el acceso a los datos retenidos por las operadoras, debiendo el gobierno dictar una disposición normativa a tal fin, si es lo que se desea hacer. Mas allá del contenido del mismo, de su alcance, uso de los datos, mecanismo de cesión, etc., circunstancias todas ellas enmarcables en el principio de proporcionalidad que exige la CDFUE, no tenemos ni el mecanismo formal para justificar el acceso a los datos, por lo que si se quieren emplear urge su adopción.

También digo que, en las actuales circunstancias, parece que la adopción de cualquier medida de protección de derechos que no sean la vida y la salud no tendrá ningún respaldo. 

De hecho, por desgracia, creo que si hubiese algún cuestionamiento de utilizar los datos de los operadores sin habilitación legal ante algún juez, sólo serviría para que los jueces buscasen la forma de compatibilizar la medida con el ordenamiento, lo que abriría la puerta a que en el futuro, cuando todo esto hubiese pasado, a que se utilizase algún párrafo suelto en perjuicio de nuestros derechos.

Y esto lo digo en base a la experiencia en otros asuntos, pero en este de la conservación de datos en particular, donde las Audiencias Provinciales justificaban ciertas cosas en un párrafo de una sentencia del Tribunal Constitucional pero obviaban las siguientes, como ya conté en su momento.

Por triste que esto último sea (para mi lo es) lo cierto es que tampoco podemos salir de esta renunciando al estado de derecho que nos hemos dado y prescindir de todo principio que nos define, como la libertad, el respeto a la ley y a los derechos humanos, pero lo cierto es que estamos ante el riesgo de validar un modelo de control de las personas, como el chino, si no somos conscientes de que hacemos y porqué lo hacemos.

Puede parecer frívolo pensar en los aspectos jurídicos de ciertas cuestiones en estos momento, con muchas personas en un riesgo real para su vida, pero la forma en como resolvamos esto es lo que nos hace, también, un lugar mejor para vivir.

Y quédate en casa!!!

El acceso por el INE a los datos de los operadores de telecomunicaciones

Hoy despertamos con la noticia de que el INE ha llegado a un acuerdo con las principales operadoras de telefonía, a cambio de medio millón de euros, para acceder a los datos de movimientos de todos los teléfonos móviles durante varios días, a comenzar en próximas semanas.

Las ventajas del método son evidentes, pues habiendo más números de móviles que ciudadanos, es sencillo colegir que casi todo el mundo, incluidos menores, porta uno en algún momento, así que la muestra parece inmejorable.

Pues bien, esta medida, a mi juicio, plantea complejos problemas jurídicos en base a la normativa aplicable, hasta el punto de considerar que, a mi juicio, no es muy correcto este proceder, ni del INE ni de las operadoras.

En primer lugar, hay que ser conscientes de que lo que conocemos como datos de tráfico (los datos de todo tipo generados por la prestación de un servicio de comunicaciones) equivalen a tener un rastreador continuamente registrando nuestra posición geográfica y nuestras interacciones con terceros (ya sean personas o servicios en internet). Es decir, una monitorización constante.

Esto no debe olvidarse, pues equivale a tener un gps en cada paseo, que damos, en cada desplazamiento, etc.

Eso es lo que permiten los dispositivos y las técnicas de comunicación que empleamos. Ciertamente, son un volumen de datos muy superior a los necesarios para la mera prestación del servicio por parte del operador, pues con poco mas que los necesarios para la facturación podrían desarrollar su actividad.

Pero, dadas las posibilidades que se dan en internet, y las exigencias de responsabilidades, entre ellas la comisión de delitos, se determinó la necesidad de obligar a todos los operadores a recopilar todos los datos, todo el tiempo (olvidémonos del contenido de las comunicaciones, hablamos sólo de los "metadatos" de esas comunicaciones), con el fin de que pudieran investigarse delitos, en principio graves como el terrorismo, etc.

Cartas que reclaman por descargar mediante sistemas P2P. ¿Qué hago? Razones para no pagar.

Como ya he venido contando, la posibilidad de identificar a los usuarios que comparten archivos en una red P2P que introdujo la reforma de la Ley de Propiedad Intelectual ha llevado a varios procedimientos judiciales en España, contra varios operadores de telefonía para obtener los datos de los usuarios que, supuestamente, habrían compartido unas películas o series mediante sistemas P2P, en particular BitTorrent.

El problema ha alcanzado una nueva magnitud al sumarse a los juzgados de Bizkaia un juzgado de lo mercantil de Madrid, que en unas Diligencias dirigidas a Movistar ha aceptado la identificación de las direcciones IP aportadas por los demandantes.

Esto implica que los usuarios afectados no serán únicamente los clientes de Euskaltel en el País Vasco sino que ya constan cartas reclamando por toda España, lo que hará que se pueda llegar a juicios por todo el país.

Hay que indicar que esta solicitud ha sido presentada por la productora Crystalis Entertaiment UG que ya presentó una solicitud similar contra Euskaltel. Sucede que en el caso de Euskaltel, al tramitarse antes por el juzgado la solicitud, pues ya sabemos que esta productora, de momento, no ha demandado a nadie por la descarga de la serie "Ash vs Evil Dead", simplemente han mandado cartas pidiendo entre 400 y 1500 euros, al igual que están haciendo ahora con los clientes de Movistar (y es posible que en breve se sumarán de otras operadoras).

Pese a que hay personas que han recibido la carta y no han pagado, de momento, insisto, no han sido demandados, por lo que la misma no ha tenido ninguna consecuencia.

Esta es una de las razones por las que recomiendo ni atender la carta, que generalmente no es un burofax u otra forma de comunicación que justifique el contenido de la reclamación, ni tan siquiera responder, para no acreditar haberla recibido. Por supuesto, tampoco recomiendo pagar ninguna cantidad.

Las otras razones para ni pagar ni atender la carta son jurídicas.

Identificando a usuarios P2P mediante la IP, antecedentes jurídicos del caso Euskaltel

Es posible que si viven en el País Vasco, en Bizkaia especialmente, les haya llegado la noticia de que cientos de usuarios del servicio de Internet de la compañía Euskaltel han recibido cartas por las que se les reclama una cantidad de dinero por la descarga de varios archivos mediante una aplicación P2P. Tampoco descarten que esto, en un futuro próximo se amplíe a otras provincias.

En estos momentos, personalmente estoy colaborando con un grupo de usuarios afectados (facebook) que han sido identificados mediante unas Diligencias Preliminares similares a las que relato a continuación, por varias películas, estando varios casos en sede judicial ante los juzgados de lo mercantil de Bilbao y, principalmente por el número de afectados, por reclamaciones extrajudiciales en relación a otras películas. La forma de contacto con el grupo es el correo electrónico defensaeuskaltel@gmail.com o su twitter https://twitter.com/AEuskaltel

Con el fin de explicar un poco el origen, los hechos y los fundamentos jurídicos, voy a intentar poner un poco de información en esta entrada (o varias) del blog para facilitar la información a los afectados y su coordinación.

Como contexto previo a todo esto, debemos saber que una petición similar se hizo por parte de Promusicae a Telefónica, en el año 2006, resultando en una cuestión prejudicial ante el TJUE cuya sentencia resolvió que:

"Las Directivas [...] no obligan a los Estados miembros a imponer, en una situación como la del asunto principal, el deber de comunicar datos personales con objeto de garantizar la protección efectiva de los derechos de autor en el marco de un procedimiento civil. Sin embargo, el Derecho comunitario exige que dichos Estados miembros, a la hora de adaptar su ordenamiento jurídico interno a estas Directivas, procuren basarse en una interpretación de éstas que garantice un justo equilibrio entre los distintos derechos fundamentales protegidos por el ordenamiento jurídico comunitario. A continuación, en el momento de aplicar las medidas de adaptación del ordenamiento jurídico interno a dichas Directivas, corresponde a las autoridades y a los órganos jurisdiccionales de los Estados miembros no sólo interpretar su Derecho nacional de conformidad con estas mismas Directivas, sino también no basarse en una interpretación de éstas que entre en conflicto con dichos derechos fundamentales o con los demás principios generales del Derecho comunitario, como el principio de proporcionalidad.

Es decir, se abrió la posibilidad de una modificación legal como la que luego resultó en la reforma de la Ley de Propiedad Intelectual del año 2014. (Siempre está mal decirlo, pero ya lo dije en su momento, aquí y aquí.)

Esta reforma introdujo en España la posibilidad de solicitar la averiguación de la identidad tras una dirección IP mediante el mecanismo de las Diligencias Preliminares. Para salvar el conflicto con la sentencia Promusicae, se dispuso que sólo se podía pedir la identidad tras la IP en el caso de un usuario añadiendo una serie de requisitos (artículo 256.1.11º):

"[...] mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas."

Es evidente que, sin esta limitación, la norma entraría en contradicción con la Sentencia del TJUE, puesto que no habría un mecanismo de ponderación que resulte proporcional a los intereses en juego.

Evito añadir todo lo que la compatibilidad de esta medida con las Sentencias sobre Conservación de Datos, a mi juicio, suponen por estar mas que reseñado en el blog durante largos años. Baste señalar que no veo como una injerencia grave en los derechos de los ciudadanos, sólo compatible con la persecución de delitos según el TJUE, puede permitirse para la investigación de un ilícito civil.

El Tribunal de Justicia y la conservación de datos, sentencia "Ministerio Fiscal".

Por fin tenemos respuesta a la cuestión prejudicial planteada por la Audiencia Provincial de Tarragona en relación a la  modificación de la Ley de Enjuiciamiento Criminal y la situación del acceso a los datos de tráfico de comunicaciones electrónicas para la investigación de delitosde todo tipo.

Es la sentencia de 2 de octubre, caso "Ministerio Fiscal"

El caso que se analizaba era muy similar al que comenté en este post sobre el acceso a los datos de un IMEI en relación a una SIM tras un robo de un teléfono móvil. Como ya vimos, lo que planteaba la Audiencia Provincial era:

«1)      ¿La suficiente gravedad de los delitos como criterio que justifica la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta puede identificarse únicamente en atención a la pena que pueda imponerse al delito que se investiga o es necesario, además, identificar en la conducta delictiva particulares niveles de lesividad para bienes jurídicos individuales y/o colectivos?

2)      En su caso, si se ajustara a los principios constitucionales de la Unión, utilizados por el [Tribunal de Justicia] en su sentencia de 8 de abril de 2014 [Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238] como estándares de control estricto de la Directiva, la determinación de la gravedad del delito atendiendo solo a la pena imponible ¿cuál debería ser ese umbral mínimo? ¿Sería compatible con una previsión general de límite en tres años de prisión?»

Y como ya se expuso, debemos tener en consideración dos resoluciones anteriores que nos dan el contexto para entender las cuestiones ahora planteadas. Por un lado la sentencia que anuló la Directiva que específicamente regulaba el acceso a esos datos concretos y por otro la sentencia del Caso Tele2 Sverige. 

Ambas iban en una línea marcada por la consideración de que la propia conservación de datos representaba una injerencia grave en los derechos reconocidos en la Carta y que, por lo tanto, su regulación debía hacerse teniendo eso en consideración y los límites adecuados para ello.

La Conservación de Datos, tal y como se hace, anulada por el Tribunal de Justicia de la UE

Hace ya casi una década que empecé a preocuparme por una norma que presentaba varios aspectos que me despertaban sensaciones raras. 

La Directiva de Retención de Datos, que finalmente se anuló, produjo una transposición en una Ley nacional, la 25/2007 que si bien no era exactamente como la Directiva (es lo que tienen las normas de transposición) tampoco, a mi juicio, completaba o determinaba bien todos los aspectos necesarios.

Es cierto que el principal foco inicial fue la consideración o no de delitos graves "tal y como se definen en las normas penales" y que en España se ha venido interpretando como que:

 "todo lo que pasa en internet es grave" 

y

 "eso es así porque usamos una sentencia anterior a la Ley que leemos sólo en aquellos párrafos que nos da la gana"

Los argumentos que he venido exponiendo a lo largo de los años, no sólo aquí públicamente (y que al parecer me deslegitiman para defender con el secreto suficiente a mis clientes) sino fundamentalmente en los juzgados, han sido, con el tiempo, confirmados por el Tribunal de Justicia de la UE.

También es verdad que algunas Audiencias, fundamentalmente la de Barcelona, sí han entendido bien que si la ley está mal lo que hay que hacer es arreglarla, no interpretarla de mala manera por los tribunales para que al final estemos en una situación mucho peor.

Pues bien, la última puntilla (y queda otra más grande que se dará con la cuestión prejudicial planteada por la AP de Tarragona) la ha puesto el Tribunal Europeo en la Sentencia del caso Tele2 Sverige.

El Tribunal, que analiza varios asuntos acumulados, entre ellos las normas británicas de Conservación, resuelve que el Carta de Derechos Fundamentales de la Unión Europea se opone a que una normativa nacional establezca una:

"[...] conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica"

Y también que:

"[...] se opone a una normativa nacional que regula la protección y la seguridad de los datos de tráfico y de localización, en particular el acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin exigir que los datos de que se trata se conserven en el territorio de la Unión"

Cobrar por ceder nuestros datos personales a las empresas de internet

A raíz del anuncio de Movistar de una aplicación para la gestión de los datos de los usuarios y su cesión a las operadoras de aplicaciones de comunicaciones, se están dando algunos debates muy interesante sobre la idea de que los usuarios cobremos por la cesión de nuestra información.

Hasta años muy recientes, en términos históricos, la información personal era relevante pero muy poco valiosa, en términos de su explotación económica.

Por supuesto que la información siempre ha sido poder y quien más información tenía más posibilidades de tomar las decisiones correctas, pero en términos absolutos, la información sobre uno mismo que los gobiernos o empresas tenían, o a la que podían acceder, no era explotada de tal manera que generase un negocio tan gigantesco como en los últimos años o como las previsiones apuntan.

El coste de la información para quien la quiere explotar viene determinado por 3 elementos:

Lo que cuesta su obtención, lo que cuesta su conservación y lo que cuesta su tratamiento.

Hasta casi finales del Siglo XX, recopilar la información era muy caro (pensemos en los catastros para controlar y asegurar la fiscalidad, que implicaban miles de personas realizando comprobaciones pueblo por pueblo) y prácticamente inasumible para ninguna empresa privada.

Lo mismo podemos decir de la conservación de los datos obtenidos, que debían ser copiados en papel, que no era barato de producir, debiendo ser transcritos manualmente o por medio de sistemas de imprenta, siendo la primera manifestación de automatización del proceso.

Y por último el coste de analizar la información y extraer las conclusiones, que era una tarea esencialmente humana y no automatizable.

Al final, se recopilaba y preservaba la información de los hitos relevantes (nacimientos, matrimonios, defunciones, etc.) y de aquellas personas que por su posición (reyes, nobles, soldados, etc.) generaban información que era trascendente de alguna manera.

Cuestión prejudicial española sobre el acceso a los datos de comunicaciones electrónicas

El pasado 6 de abril, la Audiencia Provincial de Tarragona, acordó remitir una cuestión prejudicial al Tribunal de Justicia de la Unión Europea (asunto C-207/16), en relación al acceso a los datos de tráfico de los teléfonos móviles para la investigación de delitos.

El asunto era que una persona había sido asaltada por la espalda el 16 de febrero de 2015, golpeada en el suelo y su móvil sustraído, mientras le pedían también la cartera y el dinero. A consecuencia del ataque, sufrió la rotura de 4 costillas y un corte que requirió de cuatro puntos de sutura.

Tras la denuncia, la policía, solicitó del juzgado que se librase mandamiento a las operadoras para que dijeran quien había activado una tarjeta SIM con el IMEI de ese teléfono.

El Juzgado de Instrucción dijo que no era posible acceder a lo solicitado

 "porque la Ley 25/2007 limita la cesión de los datos conservados por las operadoras [...] cuando se está investigando un delitos grave y [...] por tanto [...] sólo pueden entenderse como tales aquellos que se castigan con pena superior a cinco años [...]"

Es decir, el juzgado de instrucción interpreta, a mi juicio correctamente, la literalidad de la norma, sin interpretaciones extralegem como hemos visto en otras ocasiones.

Esa resolución del juzgado es recurrida por la fiscalía, considerando que por la naturaleza de los hechos debió haberse accedido a los datos conservados, como el Tribunal Supremo en un asunto similar decretó en sentencia de 26 de julio de 2010 (La sentencia trata de intervención de comunicaciones, realmente, como puede leerse aquí (pdf) pero lo de las interpretaciones de la fiscalía da para otro post)

¿Más cerca el fin de las legislaciones nacionales de conservación de datos (tal y como están redactadas)?

En abril de 2014, el Tribunal de Justicia de la Unión anuló la Directiva de Retención de Datos dado que su redacción era contraria a los principios del artículo 8 de la Carta de Derechos Fundamentales

Ya expuse los fundamentos, y los aspectos prácticos, de tal decisión, que resultaba ciertamente importante y que ponía en cuestión todo el entramado de normas nacionales de Retención o Conservación de Datos.

Recupero las nueve razones de la anulación para poner mas contexto a la historia

1- es demasiado amplia, incluye a todas las personas, incluso aquellas de las que no hay una evidencia mínima que sugiera su relación con un delito grave. De hecho, la Directiva no da ningún supuesto de exención, lo que incluye a personas que están sujetos a secreto profesional, como abogados y periodistas, por ejemplo.

2- no requiere relación entre los datos que son objeto de retención y una amenaza concreta para la seguridad.

3- no contiene criterios objetivos para determinar los límites de acceso de las autoridades nacionales competentes, y el subsiguiente uso de los mismos para los fines propuestos. De hecho hay una mera referencia a delitos graves según lo defina cada estado miembro.

4- tampoco hay en la Directiva condiciones de acceso y uso de los datos por las autoridades nacionales, indicando que debería decirse que el uso de los datos accedidos debe restringirse a la prevención y detección de delitos precisamente definidos.

5- no hay limitación respecto del uso de los datos a lo estrictamente necesario a la luz del objetivo perseguido.

6- el periodo de retención, de como mínimo 6 meses, no hace distinción entre tipos de datos o categoría de los mismos.

7- igualmente, respecto del periodo establecido, entre 6 y 24 meses, no está fijado por criterios objetivos en orden a conseguir lo necesario con la mínima injerencia.

8- no se fijan reglas claras, por lo que la injerencia no esta circunscrita con precisión a lo estrictamente necesario.

9- no se dan garantías de que los datos retenidos no van a ser malutilizados o de cómo se pretende garantizar su integridad y confidencialidad. De hecho ni tan siquiera hay órdenes para que los estados miembros, destinatarios de la norma, lo hagan. Además, los propios operadores, que son quienes guardan los datos, no tienen que adoptar niveles elevados de seguridad para proteger los mismos.

Tras esa sentencia, la opinión de la fiscalía, de los juzgados y audiencias provinciales ha sido de total autocomplacencia, de que nuestra ley suplía los defectos de la Directiva y que por lo tanto no le afectaban los vicios de aquella, lo que la ponía a salvo de cualquier cuestión de constitucionalidad o de conflicto con la Carta de Derechos de la UE.

El robo de móviles no permite ceder los datos de quien usó después el terminal (SAP Girona)

Los robos de terminales, en ocasiones meros hurtos, son uno de los delitos cada vez más habituales. Cuando a una persona le roban un terminal, en particular los conocidos como "smartphones" tienen un valor superior a 400 euros, por lo que estamos ante un delito.

En el caso de robo del móvil, la práctica habitual es que se denuncie en la comisaría de Policía, que esa denuncia pase al juzgado de instrucción que corresponda y que se acompañe con la solicitud de la Policía para que libre oficio a los operadores para que con el IMEI del terminal identifiquen si alguna tarjeta SIM, y a quien corresponde esta, se ha usado en ese teléfono.

La Audiencia Provincial de Girona, en su sentencia de 13 de junio de 2014 (pdf), confirmó la resolución del Juzgado de de Instrucción nº 1 de Girona, por la que se denegaba a la Policía mandamiento para obtener de oficio dirigido a compañías telefónicas "solicitando si alguna tarjeta SIM empleó el terminal telefónico sustraído a la denunciante, en las fechas inmediatamente posteriores
al delito de robo con violencia denunciado".

  

La Fiscalía recurrió la negativa a dar los datos, argumentando, como es habitual, que:

"la limitación de derechos fundamentales es mínima, ya que solo se trata de averiguar los datos que pide la policía en su escrito y en ningún caso de conocer el contenido de conversaciones privadas."

Argumento clásico en todos los escritos de quienes pretenden acceder a los datos retenidos pero que ya fue desechado por el Tribunal de Justicia de la UE cuando anuló la Directiva.

No se entiende que lo relevante no es el acceso concreto a los datos, sino que la injerencia se produce desde el momento de la recopilación de los mismos.

La Audiencia Provincial de Girona, resuelve el recurso respaldando al Juzgado y desestima el recurso con  argumentos bastante contundentes.

Recuerda que:

"[...] la Ley 25/2007 tuvo, como objetivo principal, la transposición de la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones; y que la precitada Directiva se refiere, expresamente, a que
los datos conservados deberán estar disponibles a los fines de detección o investigación por delitos graves,definidos éstos de acuerdo con la legislación interna de cada Estado miembro."

Tras analizar las diferentes posibles maneras de interpretar el concepto de "delitos graves" (penal, teleológica o persecución de delitos de crimen organizado) y señalar que no procede su aplicación al caso, recuerda la anulación de la Directiva de Retención de Datos, sí claramente indica que:

"[...] lo más relevante de misma [STJUE de 8 de abril] es que realiza una interpretación restrictiva de los supuestos en los que la conservación y posterior cesión de los datos conservados es acorde con la normativa comunitaria y con el Convenio Europeo de Derechos Humanos.
Conforme a la mencionada sentencia, dicha conservación y cesión deben circunscribirse, exclusivamente, a los delitos graves, pues sólo en esos casos estaría justificada la injerencia que dichas medidas suponen (así se declara en los parágrafos 34, 35 y 36 de la STJUE)."

Concluyendo que:

"Es por ello que esta Sala debe concluir que únicamente procederá hacer uso de las facultades de petición de datos que otorga la ley 25/2007  en los casos que se investiguen delitos graves, entendido este último término en el sentido legal estricto previsto en nuestra legislación penal ( art. 33.2 CP )"

Y sobre todo, señalando que

"el legislador nacional puede sin duda realizar una modificación legislativa que, respetando la mencionada STJUE, regule la materia de una manera más eficaz para la lucha contra la delincuencia y permita adoptar estas medidas en otros tipos de delitos; pero mientras ello no ocurra no debe el Poder Judicial subsanar la inacción, o la falta de diligencia, del Poder Legislativo, realizando una interpretación de las normas existentes en contra de la jurisprudencia comunitaria y de los tratados internacionales suscritos por España, singularmente el Convenio Europeo de Derechos Humanos"

Esto, sin duda, debe tenerse en cuenta, en particular con una reforma que habilita la cesión de datos en supuestos civiles para proteger la Propiedad Intelectual y que podría ser anulada por los tribunales europeos.

La reforma de la Ley de Enjuiciamiento Criminal ya prevé ampliar los supuestos de cesiones, pero estas reformas igualmente deberán, como recuerda la Audiencia, cumplir con los criterios de los tratados de derechos humanos.

De momento, en Girona, si te roban un móvil, difícil saber quien ha puesto una SIM en ese terminal.

Publicidad en el correo electrónico e intervención de comunicaciones ¿es legal?

La Sentencia del Tribunal Supremo de junio de 2014, recordaba que para poder analizar o investigar el correo electrónico de un trabajador, aunque fuese en el ámbito de la investigación de un delito, era imprescindible la intervención judicial, ya que la constitución no admite otra forma de injerencia en el secreto amparado por el artículo 18.3 CE.

Este artículo dice:

 "3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial." 

No sólo recordaba eso la sentencia del Tribunal Supremo, sino que incidía en que esa disposición, que forma parte de los derechos fundamentales, era indisponible. Es decir, que por mucho que el trabajador pueda consentir en la monitorización de sus comunicaciones o renunciar mediante la aceptación de las políticas de control y seguridad de la empresa, tal renuncia no podría tenerse como válida. 

"No contempla, por tanto, ninguna posibilidad ni supuesto, ni acerca de la titularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante), ni del carácter del tiempo en el que se utiliza (jornada laboral) ni, tan siquiera, de la naturaleza del cauce empleado ("correo corporativo"), para excepcionar la necesaria e imprescindible reserva jurisdiccional en la autorización de la injerencia. Tampoco una supuesta "tácita renuncia" al derecho, como a la que alude la Audiencia al final del párrafo antes transcrito, puede convalidar la ausencia de intervención judicial, por un lado porque obviamente dicha "renuncia" a la confidencialidad, o secreto de la comunicación, no se produce ni es querida por el comunicante que, de conocer sus consecuencias, difícil es imaginar que lleve a cabo la comunicación objeto de intervención y, de otra parte, porque ni aún cuando se entienda que la "renuncia- autorización" se haya producido resultaría operativa ya que, a diferencia de lo que ocurre con la protección del derecho a la inviolabilidad domiciliaria (art. 18.2 CE), nuestra Carta Magna no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante para la injerencia." 

Pues bien, siguiendo en esta línea de argumentación podemos plantearnos si los servicios de correo electrónico que “revisan” nuestras comunicaciones para insertar publicidad relacionada con el contenido de lo enviado, no están llevando a cabo una conducta contraria, en la misma medida que la empresa, al artículo 18.3 de la Constitución. 

Pensemos en que Correos lanzase un servicio de envío de cartas sin coste, a cambio de darle la posibilidad de abrir las mismas e introducir un folleto publicitario con información relacionada con el contenido. 

Imaginemos que ese servicio es prestado mediante máquinas, que no hay ninguna intervención humana.

¿Sería admisible? ¿sería contrario al 18.3 CE? 

Sin embargo parece que la proliferación de servicios de correo electrónico que realizan la misma conducta son vistos con cierta naturalidad y pocas críticas se hacen. Y tengamos en cuenta que no son servicios gratuitos, son servicios que no tienen un coste económico para nosotros, pero de gratuitos nada. 

Es cierto que alguna demanda se ha presentado en Estados contra servicios como Google y Yahoo, sin ningún resultado apreciable, pero si han motivado que, por ejemplo, Google clarifique sus políticas. 

El servicio de Gmail indica:

 "Our automated systems analyse your content (including emails) to provide you personally relevant product features, such as customised search results, tailored advertising, and spam and malware detection. This analysis occurs as the content is sent, received, and when it is stored." 

Así fue noticia el caso de un usuario de Estados Unidos denunciado por el contenido de sus comunicaciones, que incluía pornografía infantil. ¿Debe ser admisible ese uso en ciertos casos?

Y pensemos que no sólo se analizan los correos que son enviados o tratados entre cuentas de usuarios que han aceptado las condiciones del servicio, sino que incluso lo hacen con comunicaciones enviadas a través de otros servicios de mensajería, lo que, sin duda, excluye cualquier discusión sobre la aceptación o renuncia a ese derecho. 

También la Ley General de Telecomunicaciones establece la obligación de quienes prestan servicios de comunicaciones electrónicas "disponibles al público deberán garantizar el secreto de las comunicaciones de conformidad con los artículos 18.3 y 55.2 de la Constitución, debiendo adoptar las medidas técnicas necesarias." 

Y si tenemos en cuenta la referencia directa al artículo 18.3 ello debe implicar la no revisión de las mismas por los propios prestadores del servicio. 

Y no hablamos sólo de Gmail, también podemos decir lo mismo respecto de los  mensajes directos de Twitter, Facebook, Tuenti, etc. Esto nos lleva de nuevo al problema entre las posibilidades de la tecnología y el valor que queramos darle a los derechos fundamentales que reconoce la Constitución. 

Porque hay dos opciones (no hacer nada es otra pero no debería contar) o se cambia la Constitución Española con una redacción diferente, por ejemplo que admita otros supuestos, o se empieza a velar por el cumplimiento de su contenido. 

Es cuestión de optar, pero la situación actual de "olvido" de la situación no parece deseable, ni por coherencia ni por seguridad jurídica.

Sobre el abuso del copia y pega judicial, el caso de la Ley 25/2007 y la modificación del artículo 379.2 Código Penal

Que la informática ayuda a que la administración de justicia sea más rápida en el tratamiento de los asuntos es evidente. Casi tanto como que una de las mejores herramientas que se han empleado es la posibilidad de copiar y pegar fragmentos de otras resoluciones judiciales para fundamentar lo que quiere resolver el juez.

El problema viene cuando un juez se equivoca citando una ley, o una sentencia, y el fallo acaba perpetuándose en decenas de resoluciones posteriores. Así se cometen dos fallos, uno por parte de quien cita mal y otro de quien hace suyo el error y lo pega en su propia resolución.

Además, a mayor rango o "prestigio" (Audiencias de Madrid o Barcelona) de quien se equivoca mayor persistencia del error

Un ejemplo lo he detectado en las búsquedas que realizo sobre la Ley 25/2007 de Conservación de Datos. Esta ley, ordinaria, no modificó ni afectó de ninguna manera al Código Penal, pero si buscamos sentencias penales, como digo, encontramos muchas sentencias que citan la misma como fundamento de la modificación del artículo 379.2 del Código Penal.

En estas leeremos, casi invariablemente, que:

Tras la reforma de la Ley 25/2007, de 30 de noviembre, el tipo penal del artículo 379.2 del CP recoge dos tipo penales distintos:

1º) La conducción de un vehículo de motor o ciclomotor bajo la influencia de drogas tóxicas, [...] se recoge en reiterada Jurisprudencia del Tribunal Supremo (entre otras muchas la de 17 de noviembre de 1.980 y la de 22 de febrero de 1.991).

2º) La conducción de un vehículo de motor o ciclomotor con una tasa superior a 0' 60 miligramos de alcohol por litro de aire espirado,[...] (literal, histórico, sistemático o teleológico). (SAP Barcelona sec. 3ª, S 24-10-2008, núm. 817/2008).

Así he podido localizar 56 sentencias de Audiencias Provinciales en las que se invoca la reforma de la Ley 25/2007 como origen de una modificación del Código Penal.

Y remontándome en ellas, he podido localizar la que parece la primera, una sentencia de la Audiencia Provincial de Madrid, de fecha 23 de abril de 2009 (pdf) y como digo, tras esta han sido unas 55 más, sin incluir aquellas que no he podido localizar, sobre todo en juzgados de lo penal cuyas sentencias no suelen pasar a las bases de datos consultables.

Y este error se da en sentencias de Audiencias de Girona, Burgos, Valencia, Navarra, Albacete, A Coruña, Castellón, etc. Como se ve,  una vez una Audiencia Provincial de referencia se equivoca este error se traslada a otras sin limitaciones geográficas.

Realmente la Ley Orgánica que modificó el artículo 379 del Código Penal fue 15/2007 ya que una ley ordinaria no puede modificar una Ley Orgánica, y la LCD no tiene tal carácter (a pesar de que creo que por afectar al artículo 18.3 de la Constitución debería tenerlo).

A todos nos afecta el copia y pega, todos lo practicamos, y este fallo realmente no tiene mayor gravedad, puesto que lo relevante es el artículo del Código Penal a aplicar y seguramente nadie haya puesto de manifiesto el mismo, pero sí evidencia un riesgo a que se incluyan otros fallos más graves por la práctica, en ocasiones abusiva, del "copiar y pegar". Por lo que no parece descabellado recomendar que aunque copiemos lo que otro ha puesto, revisemos mínimamente si es o no correcto.

Para la Audiencia Nacional la anulación de la Directiva de Conservación no implica nulidad de Ley de Conservación

Empiezan a llegar a los juzgados y tribunales solicitudes en relación a la Ley de Conservación de Datos y a la Directiva anulada, poniendo en cuestión la vigencia de aquella.

La Audiencia Nacional dictó una sentencia (pdf) el pasado 24 de junio en la que en un delito contra la salud pública (tráfico de drogas) se ordenó la intervención de comunicaciones con el fin de investigar el delito y las relaciones entre los investigados.

Uno de los abogados de la defensa instó la solicitud de una cuestión de constitucionalidad en relación a la Ley 25/2007, el artículo 579 de la Ley de Enjuiciamiento Criminal (que regula la interceptación de comunicaciones) derivada de la anulación de la Directiva el pasado 8 de abril.

Personalmente no entiendo la relación que se pretende establecer entre las citadas normas, puesto que la conservación no afecta al secreto de las comunicaciones, de hecho el artículo 1.3 establece:

"3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas."

Ello explica que en su respuesta a la cuestión, la AN aborde aspectos como la conservación o destrucción de las grabaciones.

"[...] tema éste, asimismo ya previsto y resuelto por nuestro Tribunal Supremo, ya en SENTENCIA núm. 207/2012 de 12 de marzo de 2012 que estableció que la legitimidad del sistema no excluía la necesidad de que, dada su naturaleza invasiva e incisiva, por los tribunales se adopten medidas encauzadas a la destrucción de las grabaciones una vez que ya no se precisen para operar probatoriamente en la causa, adoptando las necesarias cautelas para evitar el almacenamiento masivo de datos relativos a la actividad de una pluralidad de personas."

Es decir, que el análisis se produce respecto del almacenamiento de las grabaciones, pero en modo alguno es relativo a un análisis de la vigencia de la LCD posterior a la anulación de la Directiva.

Sin ver el contenido del recurso es difícil ahondar más, pero en mi opinión, SITEL presenta sus propios problemas de compatibilidad con la normativa Europea de Derechos Humanos, pero estos no están relacionados con la conservación de datos.

Como digo, por eso el análisis se centra en la conservación de las grabaciones dentro del sistema SITEL:

"Así pues, la posible inconstitucionalidad del almacenamiento extraordinario de datos que supone el sistema SITEL ha sido resuelto por vía de interpretación ordinaria de la Ley por el tribunal Supremo, por lo que no es precisa interposición de cuestión de constitucionalidad alguna (solo viable cuando la solución no pueda ser adoptada mediante la interpretación ordinaria de la Ley conforme a la Constitución)

Procede, conforme a lo antes argumentado, acordar de oficio en el presente caso la destrucción de las grabaciones originales que existan en la unidad central del sistema SITEL de las intervenciones telefónicas acordadas a lo largo de este procedimiento en su totalidad, así como de todas las copias, y la conservación solamente, de forma segura, de las copias entregadas en su día al Juzgado de Instrucción número de San Cristobal de La laguna, para sus Diligencias Previas número 3735/09 en la caja HD SATA marca SUPERGRASS que aloja en su interior un disco duro marca SEAGATE modelo ST350063 OAS, que fue posteriormente remitido desde dicho Juzgado al Juzgado Central de Instrucción número tres de esta Audiencia Nacional y, finalmente a esta sala de lo penal, Sección Segunda, con verificación en ejecución de sentencia una vez ésta sea firme, que tal destrucción se ha producido."

Así pues, tras el empleo del sistema SITEL el "original" de la grabación se borra de ese sistema pero permanece una de las copias aportadas con los autos.

Es la primera mención que me consta de una resolución judicial sobre la vigencia de la LCD tras la sentencia del TJUE, pero la conclusión automática no debe ser la vigencia de la misma, puesto que no se analizaba realmente ese aspecto, sino una cuestión muy limitada y realmente no afectada.

[Bonus Track] Una buena ocasión para ver una opinión sobre esta materia será el IV Congreso de informática Judicial en Santiago, el próximo 10 de octubre en el que el que Eloy Velasco, magistrado del Juzgado de Instrucción nº 6 de la Audiencia Nacional, intervendrá, precisamente, sobre la vigencia de la LCD tras la sentencia de 8 de abril.

Ahora sí, la reforma de la LPI permite ir a por los usuarios que compartan

Comenté hace más de un año la modificación de la Ley de Enjuiciamiento Civil aprovechando la reforma de la Ley de Propiedad Intelectual para posibilitar el acceso a ciertos datos de identificación de prestadores de servicios que tuviesen relación con infractores.

Aquel era el anteproyecto que se sometió a consulta pública y está en la web del Ministerio (pdf).

En aquel texto sólo se añadía una Diligencia Preliminar al artículo 256 de la LEC, el apartado 10º, dirigida a identificar a prestadores de servicios de la sociedad de la información. Es decir, a que se aportasen los datos de otros prestadores.

En su momento critiqué que eso se hiciese así, puesto que el Ministerio de Industria tiene competencias para sancionar en el caso de que prestadores no se identifiquen y reflexionaba:

¿Qué sentido tiene, por lo tanto, esta modificación que como he dicho ni le sirve a la Sección Segunda ni aporta nada que no se pueda hacer?

Pues a mi juicio sólo hay dos opciones, que sea fruto de una mala técnica legislativa o que sea como meter el pie en la puerta para posteriormente suprimir la referencia a los PSSI y poder incluir a los usuarios, como demandan desde la industria (los casos Promusicae y Hustler son un ejemplo).

Sin embargo, el texto remitido al Congreso responde a mi pregunta.

En ese texto, vemos dos medidas de Diligencias Preliminares que se añaden, la 10ª y la 11ª. Si bien la primera sigue centrándose en los prestadores de servicios (con menciones expresas a la Ley 25/2007) en la segunda tenemos una redacción expresamente pensada en los meros usuarios:

"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo a gran escala, considerando, entre otros, el volumen de obras y prestaciones protegidas no autorizadas, mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual."

Y aquí sí tenemos la evidencia de que se pretende poder ir a por los usuarios, tal y como sospechaba. Es curioso que en el caso anterior se cite como límite los datos protegidos por la Ley de Conservación de Datos (IP, identidad, etc) y en este caso no se diga absolutamente nada sobre este extremo.

Pero además, ayer se produjo la votación en el Congreso aceptándose una enmienda del PSOE que elimina que los actos se produzcan a "gran escala" (pdf). El texto final, si el Senado no lo remedia sería:

"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual, y mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas."

Es decir, se cambia el concepto "gran escala" por "teniendo en cuenta el volumen". La razón que el Grupo Parlamentario Socialista alegaba para este cambio era que "gran escala" era un concepto indeterminado, y además:

"Que un Juez determine si un acto se realiza a "gran escala" o no es un juicio propio de un proceso plenario y declarativo, no de un incidente que tiene la única finalidad de obtener hechos, documentos o declaraciones que permitan preparar la demanda."

Razones que son precisamente las mismas que desaconsejan la redacción inicial y que en cualquier caso amplían los supuestos en los que se pretende habilitar que el juzgado obtenga la identidad de usuarios finales. Porque igualmente el juez debe hacer un análisis probatorio de la conducta del usuario antes de adoptar la medida.

Además se plantea la paradoja de que, reuniendo la conducta del usuario los requisitos exigidos, estaríamos ante un delito del artículo 270 del Código Penal, por lo que tendría preferencia esa vía.

En cualquier caso, esta Diligencia puede entrar en un serio conflicto con la Sentencia del 8 de abril de 2014 que anuló la Directiva de Conservación de Datos, en la medida en que la intromisión que supone sólo puede aceptarse para supuestos delictivos graves, no siendo este el caso.

El problema es que esa sería una pelea posterior en los tribunales.

Podría darse la paradoja de que un juzgado de lo penal no admita la identificación del usuario que comparte, por no ser un delito grave y que el titular de derechos consiga la identificación en un proceso civil.

Estamos muy entretenidos con las consecuencias del #canonaede, pero lo cierto es que esto definitivamente abre la puerta a la persecución directa de usuarios.