La directiva sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones: ¿gran hermano o seguridad colectiva?

• Autor: Rui Dinis Nascimento
• Cargo: Abogado de Landwell - PricewaterhouseCoopers

Las opiniones expresadas en este documento son de la exclusiva responsabilidad del autor.

Quisiera agradecer a Ramón Mullerat por el ánimo y la amistad recibida y por facilitar mi labor con sus comentarios invaluables sobre este tema cuando de la publicación conjunta del artículo El derecho a la privacidad: ¿crónica de una muerte anunciada? Una reflexión sobre la propuesta de Directiva de la Comisión Europea sobre retención de datos, Economía Exterior, Primavera 2006, número 36, págs. 149-153.

Page 74

1. Antecedentes

Los atentados de 11 de septiembre de 2001 en EE.UU. han demostrado al mundo que por detrás de una aparente tranquilidad puede encubrirse la más absurda brutalidad. La realidad no suele sobrepasar la ficción pero, cuando ocurre, nadie parece estar preparado para ello y, naturalmente, el sentimiento de miedo e inseguridad colectiva se apodera de las gentes. La repetición de los episodios de terror gratuito en Madrid el 11 de marzo de 2004 y en Londres el 7 de julio de 2005 agravaran dicho sentimiento y desencadenaron una preocupación mundial por la seguridad y protección hasta entonces impensable. En consecuencia, las políticas internas de los países y las organizaciones internacionales se hallan en gran medida concentradas en la protección de las populaciones contra el terrorismo y la criminalidad grave en general.

Ejemplo de dichas políticas ha sido la aprobación de la USA Patriot Act [Ley Patriótica] (HR 3162)³, la cual establece expresa-Page 75mente como su principal objetivo «detener y punir actos terroristas en Estados Unidos y en el mundo [y] aprobar herramientas legales de investigación [...]». Especial atención para el tema del presente artículo tienen las siguientes secciones del Patriot Act: (i) la Sección 201, la cual concede poderes para «interceptar comunicaciones por cable, orales o electrónicas relacionadas con el terrorismo»; (ii) la Sección 202, la cual concede poderes para «interceptar comunicaciones por cable, orales o electrónicas relacionadas con fraudes informáticas»; (iii) la Sección 204, la cual prevé una «clarificación de las excepciones a las limitaciones relativas a la intercepción y divulgación por parte de los servicios secretos de comunicaciones por cable, orales o electrónicas»; y (iv) la Sección 209, la cual prevé la «captura de correo de voz mediante mandato».

También en el ámbito europeo el Consejo Europeo en su reunión de 21 de septiembre de 2001, adoptó un Plan de Acción para la lucha contra el terrorismo que ha sido desde entonces completado con varias iniciativas importantes entre las cuales se incluyen propuestas destinadas a establecer normas sobre la conservación de datos de tráfico de comunicaciones por parte de los proveedores de servicios. En ese sentido, acrecienta que «debe darse prioridad a las propuestas relativas a la conservación de datos de tráfico de comunicaciones y al intercambio de información sobre condenas, con vistas a que estén adoptadas en junio de 2005».

A continuación de los atentados de Madrid el Consejo Europeo adopto una declaración el 25 de marzo de 2004, la cual declara expresamente el terrorismo «como una de las principales amenazas para los intereses de la Unión Europea y pide a la Presidencia y al Secretario General/Alto Representante que presenten, en coordinación con la Comisión, propuestas concretas para la aplicación de la Estrategia Europea de Seguridad, incluyendo recomendaciones para combatir la amenaza que supone el terrorismo y abordar las causas que están en su raíz». En consecuencia, se declara que «la Unión debe aumentar su participación en los esfuerzos de la comunidad internacional por evitar y estabilizar los conflictos regionales y fomentar el buen gobierno y el Estado de Derecho».

Asimismo, los atentados terroristas perpetrados en Londres a principios de julio de 2005 fueron objeto de rotundas condenas por partePage 76 de las distintas instancias de la Unión Europea. En declaración del 13 de julio de 2005, el Consejo consideró estos actos como una afrenta a los valores universales en los que se basa la Unión y destacó su determinación para conseguir rápidamente la aprobación de una serie de textos legislativos destinados a impedir y combatir tales actos. Los Estados miembros también consideraron como objetivo importante la aplicación correcta, y en los plazos previstos, de los instrumentos existentes de lucha contra el terrorismo entre los cuales estaría también la conservación de datos electrónicos por parte de los operadores de comunicaciones y de redes de telecomunicaciones públicas con el fin de permitir a las autoridades competentes acceder a dicha información en el marco de la lucha contra el terrorismo y la gran delincuencia.

El conjunto de dichas iniciativas y de otras con la misma naturaleza culminaron en la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, comúnmente conocida como «Directiva Frattini»⁴.

2. La normativa europea de protección de datos

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos⁵, exige que los Estados miembros protejan los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de datos personales y, en particular, su derecho a la intimidad, para asegurar el libre flujo de datos personales en la Comunidad Europea.

Page 77

Por otro lado, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas⁶, traduce los principios establecidos en la Directiva 95/46/CE a normas específicas para el sector de las comunicaciones electrónicas. Los artículos 5, 6 y 9 de la Directiva 2002/58/CE definen las normas aplicables al tratamiento, por los proveedores de red y de servicios, de los datos de tráfico y de localización generados por el uso de servicios de comunicaciones electrónicas. Estos datos deben borrarse o hacerse anónimos cuando ya no se necesiten para la transmisión, salvo los datos necesarios para la facturación o los pagos por interconexión. Previo consentimiento, determinados datos pueden también tratarse con fines comerciales y la prestación de servicios de valor añadido.

El artículo 15, apartado 1, de la Directiva 2002/58/CE fija las condiciones en que los Estados miembros pueden limitar el alcance de los derechos y obligaciones que se establecen en el artículo 5, el artículo 6, el artículo 8, apartados 1 a 4, y el artículo 9 de dicha Directiva. Tales restricciones deben constituir medidas necesarias, apropiadas y proporcionadas en una sociedad democrática para fines específicos de orden público, como proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, detección y enjuiciamiento de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas.

Varios Estados miembros han adoptado legislación que prevé la conservación de datos por los prestadores de servicios para la prevención, investigación, detección y enjuiciamiento de delitos. Estas disposiciones de las normativas nacionales varían considerablemente y sus diferencias legales y técnicas crean obstáculos en el mercado interior de las comunicaciones electrónicas; los prestadores de servicios deben cumplir requisitos diferentes en cuanto a los tipos de datos de tráfico y de localización que deben conservarse, así como en cuanto a las condiciones y los periodos de conservación.

Las Directivas 95/46/CE y 2002/58/CE son plenamente aplicables a los datos conservados de conformidad con la Directiva 2006/24/CE.

Page 78

Las obligaciones impuestas a los proveedores de servicios en relación con las medidas para garantizar la calidad de los datos, derivadas del artículo 6 de la Directiva 95/46/CE, y sus obligaciones relativas a la garantía de la confidencialidad y seguridad del tratamiento de datos, derivadas de los artículos 16 y 17 de dicha Directiva, son plenamente aplicables a los datos conservados a efectos de la presente Directiva 2006/24/CE. Asimismo, el derecho de toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la Directiva 95/46/CE, a...