Novedades Legislativas sobre protección de datos. La Directiva 2002/58/CE.

AutorMaría de los Reyes Corripio Gil-Delgado
CargoDoctora en Derecho
Páginas39-67
  1. La Directiva 2002/58/CE en el marco normativo europeo y nacional

    La Directiva 2002/58/CE[1] deroga y sustituye la Directiva 97/66/CE, de 15 de diciembre, que regulara esta materia, en lo que diríamos corresponde a la primera fase en la protección de los datos personales en el sector de las telecomunicaciones. Las novedades que se introducen respecto a la anterior legislación proceden básicamente de la inclusión expresa y la adaptación normativa a las peculiaridades de la convergencia de las telecomunicaciones con la informática y al desarrollo de los servicios de comunicación en línea, como Internet.

    En efecto, una de las más fundadas críticas que se hicieron respecto a la Directiva 97/66/CE, reposaba en el hecho de que estaba fundamentalmente dirigida a regular los aspectos más problemáticos de la protección de datos personales en la telefonía (datos sobre el tráfico, identificación de la línea de llamada, desvío de llamadas, facturación desglosada etc.), dejando sin resolver los problemas ligados a la transmisión de datos y los servicios en línea como Internet. Esta preeminencia del servicio de telefonía carece de fundamento en la actualidad dada la importancia que están cobrando las comunicaciones entre PCs y la necesidad de una normativa adaptada a sus particularidades.

    Esta nueva normativa encaja con el interés existente en la Comunidad europea por acelerar la introducción de las tecnologías digitales en toda Europa, sobre todo teniendo en cuenta su importancia para el crecimiento económico y el empleo y que, pese al liderazgo europeo en telefonía móvil y la televisión digital, la utilización de los ordenadores y de Internet en Europa sigue estando a un nivel muy bajo[2]. Con la Directiva 2002/58/CE se pretende impulsar el desarrollo transfronterizo de los nuevos servicios de comunicaciones electrónicas, garantizando la protección de los derechos y libertades fundamentales de las personas físicas y los intereses legítimos de las personas jurídicas frente a la creciente capacidad de almacenamiento y tratamiento informático de datos relativos a abonados y usuarios. Por ello, esta norma se configura como una Directiva sectorial, referida tanto a los datos ligados a las telecomunicaciones tradicionales (tráfico, guías, etc.) como a las peculiaridades de la digitalización de las comunicaciones electrónicas que generan nuevas formas de tratamientos (identificación de las líneas de llamada, desvío de llamada, etc.) así como nuevas categorías de datos, por ejemplo las anotaciones originadas por la conexión a la red y los archivos que recogen incidencias (archivos de logs y cookies) o los datos de localización. También existen particularidades en los tratamientos realizados al hilo de las comunicaciones electrónicas como los sistemas de recogida de datos de forma subrepticia o el envío masivo de correo electrónico.

    En lo que a marco normativo europeo se refiere, al tratarse de una directiva sectorial debe completarse con el sistema general de protección de datos personales cuya norma de referencia es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos[3] y que se conoce como 'Directiva general'. Las condiciones de legitimidad de los tratamientos, los principios de consentimiento, así como los derechos de acceso, rectificación y cancelación o el deber de información son plenamente aplicables al respeto de la vida privada en el sector de las comunicaciones electrónicas.

    Esta complementariedad y dependencia se manifiesta en el valor normativo de las normas de transposición en nuestro país tanto de la Directiva general como de la Directiva 97/66/CE. La primera ha requerido la aprobación de una Ley con rango de Orgánica, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD)[4], al regular un derecho fundamental derivado del art. 18.4 Constitución Española. La segunda, al contrario, ha sido incorporada al derecho interno mediante el Real Decreto de 31 de julio de 1998 que Aprueba el Reglamento de desarrollo del Título III de la Ley General de Telecomunicaciones (RCL 1998\1056), en lo relativo al servicio universal de telecomunicaciones, a las demás obligaciones de servicio público y a las obligaciones de carácter público en la prestación de los servicios y en la explotación de las redes de telecomunicaciones (en adelante RSUSYP)[5].

    En el derecho interno se hace precisa, pues, una modificación del Real Decreto referido, que, deberá ser reelaborado como consecuencia tanto de la transposición de la Directiva que estudiamos, como de la Directiva 2002/22/CE del Parlamento Europeo y del Consejo, de 7 de marzo, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas (Directiva servicio universal)[6].

  2. Ámbito de aplicación

    La primera cuestión que se aborda (art. 1), la referida a su ámbito de aplicación, nos la presenta como una Directiva de armonización de legislaciones dirigida a garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad (art. 1.1) y manifiesta su carácter específico y complementario de la Directiva general (art. 1.2), en esta materia. Sin embargo, su ámbito de aplicación diverge en gran manera de la Directiva general al regular, con carácter propio, la protección de los intereses legítimos de los abonados que sean personas jurídicas. Cuestión esta que escapa de las libertades y derechos fundamentales regulados en la Directiva general, pero que se halla vinculada al incremento de la confianza social en las nuevas tecnologías.

    Por otra parte la Directiva 2002/58/CE, no se aplicará (1.3) a aquellas actividades que quedan al margen del Tratado constitutivo de la Comunidad Europea, ni a las reguladas por las disposiciones de los Títulos V y VI del TUE, como son las que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado o las actividades del Estado en materia penal. Esta exclusión también aparece en el art. 13 de la Directiva general, y permite a los Estados li-mitar legalmente el alcance de las obligaciones y derechos recogidos en diferentes artículos de la norma (apdo. 1 art. 6, art. 10, apdo. 1 del art. 11, y en los arts. 12 y 21) cuando tal limitación constituya una medida necesaria para la sal-vaguardia de:

    a)la seguridad del Estado

    1. la defensa

    2. la seguridad pública,

    3. la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas.

      1. Servicios afectados

        Una segunda delimitación del ámbito de aplicación de la Directiva es la que acota por servicios, limitándose a los tratamientos de datos personales relacionados con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Comunidad (art. 3.1). Quedan fuera, por tanto, las comunicaciones realizadas en grupo cerrado de usuarios, o los servicios que utilizan «redes privadas» y que son aquéllas propiedad de una empresa que la utiliza para la autoprestación de servicios de telecomunicaciones no disponibles para el público.

        También deben entenderse excluidos los servicios prestados por redes privadas virtuales (VPN), y que son aquellas que, soportadas por redes públicas, ofrecen recursos dedicados en exclusiva a un usuario. Esta exclusión ha suscitado controversias pues 'restringir las previsiones de la directiva a los servicios de comunicaciones electrónicas públicamente disponibles en las redes de comunicación públicas no refleja la importancia cada vez mayor que van adquiriendo estas redes en la vida cotidiana y las comunicaciones de los ciudadanos ¿en el contexto, por ejemplo, de su trabajo-, y los riesgos que esas redes plantean para la protección de la intimidad están aumentando y materializándose consiguientemente 'por ejemplo, control del comportamiento de los empleados a través del tráfico de datos o falta de confidencialidad de las comunicaciones'[7]. Problemática que deberá ser resuelta aplicando la Directiva general. Por otra parte, ciertas disposiciones como las referidas a la identificación de las líneas de llamada o al desvío de llamada sólo se aplicarán a las centrales digitales y sólo cuando sea técnicamente posible y no exija un esfuerzo económico desproporcionado, a las centrales analógicas (art. 3.2).

      2. Seguridad

        Las medidas de seguridad en la legislación sobre protección de datos tienen por objeto evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos personales, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural (como dispone en nuestro derecho interno el apartado primero art. 9 LOPD), y, también se persigue, que no puedan registrarse «datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas» (apartado segundo de la misma). Esta disposición ha sido objeto de desarrollo reglamentario en el Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal[8]. Así pues, y con base en el artículo referido, la Agencia de Protección de Datos (APD) ha sancionado a operadores, por el acceder a los datos de facturación de sus clientes a través de Internet, infracción esta...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR