Aviso a ISP's: La Directiva sobre retención de datos da un nuevo paso adelante

El pasado 14 de diciembre, el Parlamento Europeo ha aprobado, en primera lectura, la propuesta de Directiva sobre conservación de datos tratados en relación con la prestación de servicios públicos de comunicación electrónica. Esto no significa que dicha obligación, cuyas características intentaremos analizar en este artículo, sea ya aplicable a los prestadores de servicio de acceso o de alojamiento de datos en España; sino que únicamente, representa un paso más en el procedimiento de codecisión que debe finalizar con la correspondiente Directiva y, con el tiempo, con una norma legal en nuestro país donde dicha obligación quede plasmada. Con el cumplimiento de este trámite el Parlamento Europeo enmienda la Directiva propuesta por la Comisión. El objetivo de este artículo es analizar estos primeros pasos a efectos de anticipar o prever el contenido final de la obligación que afectará a cualquier tipo de operador de estos servicios en la Unión Europea, y, en consecuencia, en España.

El uso de las tecnologías de la información, no representa únicamente un patrimonio de las empresas o de las personas, para fines lícitos y deseables; los terribles atentados terroristas que el mundo occidental ha padecido en los últimos años (2001, NY y Washington; 2004 Madrid y 2005 Londres), demostraron que los terroristas utilizaron dichos medios a efectos de organizar e incluso perpetrar dichos crímenes (en Madrid activaron las bombas a través del móvil). Esta realidad, hizo que a nivel de la Unión Europea (obviamente también en EUA, pero no vamos a entrar en este ámbito), se considerase necesario regular la obligación de quienes dan acceso a este tipo de servicios (teléfono, fijo y móvil, y Internet, básicamente), para que retuvieran los datos de tráfico a efectos de que éstos fueran útiles para posibles investigaciones. Esta necesidad y, por qué no decirlo, ambiente de cierta paranoia hacia los usos de la red, fructificó en España mediante la aprobación de la LSSICE, que en su artículo 12 introducía esta obligación. Es interesante hacer un alto aquí para señalar que la futura Directiva parece que obligará a reformar este precepto y para apuntar que esta obligación, no se establecía en la Directiva de la que la LSSICE emana (Directiva 2000/31/CE). En relación a este artículo 12, al que haremos referencia a efectos de compararlo con la propuesta de Directiva, a la práctica no ha sido nunca aplicado por dos razones: en primer lugar porque emplazaba la regulación de ciertos aspectos básicos para su aplicación a un reglamento, que, a fecha de hoy, aún no existe y porque obligaba a la retención de los datos por un período máximo de 12 meses, sin establecer período mínimo; con lo que se cumplía reteniéndolos durante, por ejemplo, un minuto.

Entremos ya a analizar, las obligaciones que representará para los prestadores de acceso y de alojamiento de datos, la futura Directiva. No entraremos en estudiar en qué forma esta obligación puede colisionar con los derechos fundamentales de las personas que utilizan los servicios de la red, ya que daría para una tesis doctoral; aunque de hecho, el resultado de la Directiva ha tenido en cuenta los criterios que deben inspirar una medida como esta, que según como se aplique puede resultar limitativa de los derechos de las personas; en concreto el derecho de protección de datos. Simplemente para dejar apuntado este conflictivo tema, señalar que la propuesta de Directiva, aprobada por el Parlamento Europeo, establece que la utilización de los datos de tráfico con fines de una investigación debe respetar los criterios nacionales que cada Estado miembro tenga establecidos; en el caso de España, debemos apuntar al principio de proporcionalidad, según el cual cualquier medida que afecte a un derecho fundamental debe cumplir con el triple examen; a saber, que sea idónea y necesaria para el fin que propone y que se base en motivos objetivos.

¿Cómo afectará, en definitiva, esta propuesta de Directiva para los ISP's establecidos en España? Es importante indicar que estamos analizando una propuesta legislativa por lo que su redactado final, puede verse modificado de forma más o menos sustancial. Como se ha dicho, esta obligación está legalmente en vigor en España a través del artículo 12 de la LSSICE, aunque a la práctica no se aplique; en general la propuesta de Directiva favorecerá la claridad de esta obligación, aunque la verdad no resulta difícil si alguien intenta comprender en qué forma debe aplicarse el mencionado artículo 12.

¿Para qué delitos se pueden solicitar datos de tráfico? En primer lugar el texto que ha aprobado el Parlamento Europeo establece que la comunicación de los datos de tráfico, únicamente podrá solicitarse para la investigación, detección y enjuiciamiento (el Parlamento elimina de la propuesta de la Comisión la retención de datos para la prevención) de delitos graves como la delincuencia organizada o el terrorismo (deja a iniciativa de cada Estado miembro la definición de estos actos). Aquí ya se introduce un primer cambio con el artículo 12 de la LSSICE que preveía la retención de los datos de tráfico para "su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional". El tenor de precepto pues, es mucho más amplio que la propuesta de Directiva que deja la duda de si será posible reclamar estos datos ante otro tipo de delitos menos graves. Por ejemplo, de aprobarse la Directiva en este sentido ¿pueden reclamarse dichos datos para la investigación de un delito de amenazas? Parece que no.

¿Qué datos deben retenerse? Especialmente importante es el listado de los datos que deben retenerse que se incluyen en la propuesta de Directiva y que especifica de forma detallada la información a guardar para conocer el origen, el destino, la fecha, la hora y duración, el tipo de comunicación, así como el equipo y su localización; además realiza esta tasca para cada tipo de medio, a saber, la telefonía fija y móvil, Internet, correo electrónico y voz sobre IP. Este nivel de detalle contrasta con el artículo 12 de la LSSICE que establecía que debían conservarse únicamente los datos "necesarios para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información", remitiendo el resto al desarrollo reglamentario, tres años y medio después, aún por tramitarse. En cualquier caso, tanto la propuesta de Directiva como el artículo 12 de la LSSICE establecen que los datos a conservar, en ningún caso afectarán al contenido de la comunicación.

Un aspecto polémico es quién debe hacer frente al coste adicional que esta medida supondrá para los operadores. La propuesta de Directiva deja, de momento, a iniciativa de cada Estado miembro la previsión de ayudas públicas a los afectados por estas medidas. Sin querer avanzar nada en este sentido, no parece que las sensaciones en España sobre esta posibilidad, sean esperanzadoras para los ISP's afectados; deberemos esperar y ver.

Por último la propia propuesta de Directiva prevé que al cabo de los 3 años de su aprobación, esta deberá ser revisada para su posible actualización o, incluso, derogación, en el caso de considerarse necesario.

En conclusión pues, los prestadores de servicios de Internet (de acceso y de alojamiento), entre otros de telefonía, deben estar atentos a la evolución de esta iniciativa europea, que, siendo optimistas, puede tener fuerza de ley en España en un plazo de dos años. Sea cómo y cuando sea, se está llevando a cabo la gestación de un proyecto legislativo que, a la práctica, resultará una obligación más para los prestadores de servicios de intermediación. En este sentido queremos apuntar la gran cantidad de pequeños prestadores de servicios de alojamiento de datos en nuestro país que, muchas veces, prestan sus servicios a través de terceros, que, también en no pocas ocasiones, se encuentran fuera de la Unión Europea. En definitiva únicamente queríamos apuntar que existen muchas prácticas en el sector que, tiempo tendremos para ver como deben adaptarse a previsiones como la analizada.

Victor Roselló Mallol
Abogado