Recomendación 99/3, sobre la conservación de los datos sobre tráfico por los proveedores de servicio Internet a efectos de cumplimiento de la legislación, aprobado el 7 de septiembre de 1999 por el Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales (DG XV D 5085/99/final WP 25).
WP 25 GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES
Recomendación 3/99 sobre la conservación de los datos sobre tráfico por los proveedores de servicio Internet a efectos de cumplimiento de la legislación
Aprobada el 7 de septiembre de 1999
Introducción
La persecución del delito informático se considera cada vez más importante a escala internacional(1). Los países del G8(2) han adoptado un plan de acción de diez puntos(3) que actualmente están poniendo en práctica con ayuda de un subgrupo especializado en delitos de alta tecnología compuesto por representantes de las autoridades de control de los países del G8. Uno de los apartados más destacados y polémicos es la conservación de los datos sobre tráfico, tanto histórico como futuro, por parte de los proveedores de servicio Internet a efectos de cumplimiento de las disposiciones legislativas y su puesta a disposición de las autoridades de control. El subgrupo de delitos de alta tecnología del G8 propondrá recomendaciones para garantizar la posibilidad de conservar y proporcionar dichos datos sobre tráfico. Los Ministros de Justicia e Interior del G8 analizarán estas recomendaciones en la reunión que se celebrará en Moscú los días 19 y 20 de octubre de 1999.
El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales(4) es consciente de la importante función que pueden ejercer los datos sobre tráfico en el contexto de la investigación de delitos cometidos a través de Internet, pero desea recordar a los poderes públicos nacionales los principios de protección de los derechos fundamentales y las libertades de las personas, y en particular, el derecho a la intimidad y al secreto de la correspondencia que se deben tener en cuenta en este aspecto.
(1) Véase por ejemplo el “Estudio COMCRIME” “Aspectos jurídicos de los delitos informáticos en la sociedad de la información – Estudio COMCRIME, enero de 1997, incluido en el Plan de acción de la UE contra la delincuencia organizada, disponible en el sitio Web del Grupo consultivo jurídico: http://www2.echo.lu/legal/en/comcrime/sieber.html. El Consejo de Europa está elaborando un proyecto de convenio sobre el delito informático. El Consejo de la UE expresó su apoyo a esta tarea el 27 de mayo de 1999. Bajo la denominación de delito informático se incluyen todos los delitos cometidos a través de redes, tales como ataques informáticos, publicación de material ilegal en sitios Web y delincuencia organizada transnacional (como narcotráfico o pornografía infantil).
(2) Los países del G8 son: Canadá, Francia, Alemania, Italia, Japón, el Reino Unido, los Estados Unidos y Rusia.
(3) “Reunión de Ministros de Justicia e Interior de los Ocho, 9-10 de diciembre de 1997, Comunicado, Washington D.C., 10 de diciembre, Anexo al comunicado: Principios y plan de acción para combatir el delito de alta tecnología”
(4) Creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31. Se puede consultar en: http://europa.eu.int/comm/dg15/en/media/dataprot/law/index.htm
El Grupo comprende que los Ministros de Justicia e Interior del G8 pueden verse obligados a solicitar una interpretación equilibrada de las dos Directivas comunitarias relativas a la protección de datos(5) en la fase de transposición, interpretación que tendrá en cuenta el interés por el control de su aplicación junto con el interés por el respeto a la intimidad.
El Grupo también es consciente de las cargas adicionales que deberían soportar los operadores de telecomunicaciones y proveedores de servicio. Por consiguiente, el objetivo de la presente Recomendación es contribuir a una aplicación uniforme de las Directivas 95/46/CE y 97/66/CE con vistas a definir condiciones claras y predecibles para los operadores de telecomunicaciones y los proveedores de servicio Internet, así como para las autoridades de control, que protejan simultáneamente el derecho a la intimidad.
Situación jurídica
En la Unión Europea, la Directiva 95/46/CE armoniza las condiciones de protección del derecho a la intimidad consagrado en los sistemas jurídicos de los Estados miembros. Esta Directiva otorga contenido y amplía los principios incluidos en el Convenio Europeo para la Protección de los Derechos Humanos de 4 de noviembre de 1950 y en el Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981 para la protección de las personas en relación con el tratamiento automático de datos personales. La Directiva 97/66/CE adapta las disposiciones de dicha Directiva al sector de telecomunicaciones. Ambas Directivas se aplican al tratamiento de los datos personales en Internet, incluidos los datos sobre tráfico relacionados con abonados y usuarios.(6)
En concreto, los artículos 6, 7, 13 y los apartados 1 y 2 del artículo 17 de la Directiva 95/46/CE y los artículos 4, 5, 6 y 14 de la Directiva 97/66/CE tratan la legitimidad de dicho tratamiento por los operadores de telecomunicaciones y proveedores de servicio.
Estas disposiciones permiten a los operadores de telecomunicaciones y a los proveedores de servicios de telecomunicación tratar los datos sobre el tráfico de telecomunicaciones en condiciones muy limitadas.
La letra b) del apartado 1 del artículo 6 dispone que estos datos sean recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines. La letra e) del apartado 1 del artículo 6 establece que los datos personales sean conservados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. El artículo 13 permite a los Estados miembros limitar el alcance del apartado 1 del artículo 6, entre otros, cuando tal limitación constituya una medida necesaria para la salvaguardia de la seguridad del Estado, la seguridad pública o la prevención, investigación, detección y represión de infracciones penales.
(5) Directiva 95/46/CE (véase nota 3) y Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, DO L 24 de 30.1.1998, p. 1. Se puede consultar en: véase nota 4.
(6) Véase “Documento de trabajo: Tratamiento de datos personales en Internet”, adoptado el 23 de febrero de 1999, se puede consultar en: véase nota 1.
La aplicación de estos principios se define con mayor precisión en el artículo 5 y en los apartados 2 a 5 del artículo 6 de la Directiva 97/66/CE. El artículo 5 garantiza la confidencialidad de las comunicaciones realizadas a través de las redes públicas de telecomunicación y de los servicios de telecomunicación accesibles al público. Los Estados miembros deben prohibir la escucha, grabación, almacenamiento u otros tipos de interceptación o vigilancia de las comunicaciones por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando esté autorizada legalmente, de conformidad con el apartado 1 del artículo 14.
Como norma general, los datos sobre tráfico deben destruirse o hacerse anónimos en cuanto termine la comunicación (apartado 1 del artículo 6 de la Directiva 97/66/CE).
Esto se debe a la confidencialidad de los datos sobre tráfico que permiten obtener perfiles individuales de comunicación incluyendo fuentes de información y ubicación geográfica del usuario de teléfonos fijos o móviles y a los posibles efectos perniciosos sobre la intimidad resultantes de la recopilación, difusión o uso posterior de dichos datos. En el apartado 2 del artículo 6 se incluye una excepción relativa al tratamiento de datos sobre tráfico a los efectos de la facturación de los usuarios y de los pagos de las interconexiones, pero únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.
El apartado 1 del artículo 14 permite a los Estados miembros limitar el alcance de las obligaciones y derechos que se establecen en el artículo 6 cuando dichas limitaciones constituyan una medida necesaria para la salvaguardia de la seguridad nacional y la prevención, investigación, detección y represión de infracciones penales tal como se indica en el apartado 1 del artículo 13 de la Directiva 95/46/CE.
De estas disposiciones se deduce que los operadores de telecomunicaciones y los proveedores de servicio Internet no pueden recopilar y almacenar datos únicamente para controlar el cumplimiento de la legislación, a menos que así se les exija legalmente de conformidad con los motivos y condiciones antes mencionados. Esto coincide con los hábitos tradicionales de la mayoría de los Estados miembros, donde la aplicación de los principios nacionales de protección de datos ha dado lugar a la prohibición al sector privado de conservar datos personales con el único motivo de una posible necesidad posterior expresada por la policía o las fuerzas de seguridad del Estado.
En este contexto, es de observar que a efectos de control y en las condiciones incluidas en el artículo 13 de la Directiva 95/46/CE y el artículo 14 de la Directiva 97/66/CE, la mayoría de los Estados miembros tienen disposiciones legislativas que definen las condiciones precisas en las cuales la policía y las fuerzas de seguridad del Estado pueden tener acceso a datos almacenados por operadores privados de telecomunicaciones y proveedores de servicio Internet para sus propios fines civiles.
Como ya indicó el Grupo en su Recomendación 2/99 sobre la protección de la intimidad en el contexto de la interceptación de las telecomunicaciones adoptada el 3 de mayo de 1999(7), el que un tercero llegue a poseer datos sobre tráfico relativos al uso de los servicios de telecomunicación se ha considerado generalmente interceptación de las telecomunicaciones, por lo que constituye una violación del derecho a la intimidad de las personas y a la confidencialidad de las comunicaciones tal como está garantizado en el artículo 5 de la Directiva 97/66/CE (8). Además, la difusión de estos datos sobre tráfico es incompatible con el artículo 6 de la citada Directiva.
(7) Se puede consultar en: véase nota 1.
Toda violación de estos derechos y obligaciones es inaceptable a menos que cumpla tres criterios fundamentales, de conformidad con el apartado 2 del artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales de 4 de noviembre de 1950, y se ajuste a la interpretación del Tribunal europeo de Derechos Humanos de tal disposición: un fundamento jurídico, la necesidad de dicha medida en una sociedad democrática y la conformidad con uno de los objetivos legítimos enumerados en el Convenio. El fundamento jurídico debe definir con precisión los límites y medios de aplicación de la medida: los fines para los que se podrán tratar los datos, el plazo durante el cual se podrán conservar (en caso de que se puedan conservar) y el acceso a los mismos deberán estar estrictamente limitados. Es imprescindible prohibir la vigilancia exploratoria o general a gran escala(9). De ello se deduce que los poderes públicos podrán tener acceso a datos sobre tráfico únicamente de manera individualizada y nunca sistemática ni general.
Estos criterios coinciden con las disposiciones antes citadas del artículo 13 de la Directiva 95/46/CE y del artículo 14 de la Directiva 97/66/CE.
Divergencia entre las normas nacionales
En relación con el periodo durante el cual se pueden conservar los datos sobre tráfico, la Directiva 97/66/CE solamente permite su tratamiento a efectos de facturación(11) y únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura. No obstante, este plazo varía significativamente de un Estado miembro a otro. Por ejemplo, en Alemania los operadores de telecomunicaciones y los proveedores de servicios de telecomunicación pueden almacenar los datos necesarios para facturación durante un plazo máximo de 80 días a efectos de demostrar la corrección de la factura(12). En Francia, depende del tipo de operador: el operador de telecomunicaciones “tradicional” puede conservar los datos sobre tráfico hasta un año basándose en la ley que fija el plazo durante el cual puede impugnarse la factura. Este plazo queda fijado en 10 años para los demás operadores. En Austria, la ley sobre telecomunicaciones no fija ningún plazo concreto para guardar los datos sobre tráfico a efectos de facturación, sino que lo limita al plazo durante el cual puede impugnarse la factura o exigirse el pago. En el Reino Unido, de conformidad con la ley, la factura puede impugnarse durante seis años, pero los operadores y proveedores de servicio almacenan los datos pertinentes durante unos 18 meses. En Bélgica, por ejemplo, la ley no define el plazo, pero el mayor proveedor de servicios de telecomunicación lo establece en 3 meses en sus condiciones generales. Otra práctica distinta puede observarse en Portugal pues, dado que el plazo no está fijado por ley, la autoridad nacional de control de la protección de datos decide de manera individualizada. Es interesante destacar que en Noruega el plazo está fijado en 14 días.
(8) Las autoridades de control también necesitan acceder a información sobre conexión en tiempo real y a datos relativos a las conexiones activas (los denominados “datos sobre tráfico futuro”).
(9) Véanse, en particular, las sentencias Klass, de 6 de septiembre de 1978, serie A nº 28, p 23 y s, y Malone, de 2 de agosto de 1984, serie A nº 82, p 30 y s. La sentencia Klass, así como la sentencia Leander de 25 de febrero de 1987, hacen hincapié en la necesidad de “garantías suficientes contra los abusos, ya que un sistema de vigilancia secreta destinado a proteger la seguridad nacional crea el riesgo de minar, o incluso de destruir, la democracia pretendiendo defenderla” (Sentencia Leander, serie A nº 116, p 14 y s).El Tribunal observa en la sentencia Klass (apartados 50 y s) que la valoración de la existencia de garantías adecuadas y suficientes contra los abusos depende de todas las circunstancias de la causa. Considera en la sentencia en cuestión que las medidas de vigilancia previstas por la legislación alemana no autorizan la vigilancia exploratoria o general y no infringen el artículo 8 del Convenio europeo de protección de los derechos humanos. Las garantías previstas por la ley alemana son las siguientes: sólo pueden efectuarse medidas de vigilancia cuando ciertos indicios permitan sospechar que alguien proyecta realizar, realiza o ha realizado infracciones graves; sólo pueden prescribirse si el esclarecimiento de los hechos por otros medios está llamado al fracaso o presenta considerables obstáculos; incluso en ese caso la vigilancia sólo podrá referirse a la persona del sospechoso o a las personas presuntamente en contacto con éste.
(10) Actualmente, la Comisión está analizando la legislación de los Estados miembros que han notificado las medidas nacionales de transposición de la Directiva 97/66/CE y de la Directiva 95/46/CE. Véase el cuadro de transposición relativo a la Directiva 95/46/CE en: véase nota 4.
(11) Y, en caso necesario, para los pagos de las interconexiones entre operadores de telecomunicaciones, véase el apartado 2 del artículo 6 de la Directiva 97/66/CE.
Tampoco es homogénea la práctica habitual de los proveedores de servicio Internet: parece que los pequeños proveedores conservan los datos sobre tráfico durante periodos muy breves (unas horas) debido a falta de capacidad de almacenamiento.
Los proveedores más importantes, que pueden permitirse disponer de capacidad de almacenamiento, pueden conservar los datos sobre tráfico durante unos meses (pero todo depende de su política de facturación: por tiempo de conexión o por periodos fijos).
A efectos de aplicación de la legislación, la ley sobre telecomunicaciones holandesa obliga a los operadores de telecomunicaciones y a los proveedores de servicio a recopilar y almacenar los datos sobre tráfico durante tres meses.
Obstáculos para el funcionamiento del mercado interior
Estas divergencias podrían plantear obstáculos en el mercado interior para la prestación transfronteriza de servicios de telecomunicación e Internet, y la existencia de plazos tan diferentes puede dificultar el control del cumplimiento legislativo. Se puede dar el caso de que un proveedor de servicio Internet establecido en un Estado miembro no tenga derecho a almacenar datos sobre tráfico durante más tiempo del permitido en el Estado miembro donde el cliente utiliza sus servicios, o bien que se vea obligado a conservar los datos sobre tráfico durante más tiempo del permitido en su propio Estado miembro porque el país de los usuarios así lo exija legalmente. En caso de la facturación por itinerancia en telefonía móvil, quien cobra la factura es el operador nacional del abonado que usa este servicio en lugar del operador extranjero, por lo que los diversos plazos de almacenamiento de datos necesarios para la facturación pueden dar lugar a los mismos problemas que en el caso de los proveedores de servicio Internet. La norma de legislación aplicable definida en el artículo 4 de la Directiva 95/46/CE únicamente resuelve este problema si el proveedor de servicios Internet es el responsable y está establecido en un solo Estado miembro, pero no cuando está establecido en varios Estados miembros con distintos plazos o cuando trata datos sobre tráfico en nombre del responsable.
(12) Si se impugna la factura durante este periodo, los datos pertinentes se podrán conservar hasta que el litigio quede resuelto.
Recomendación
En vista de lo anterior, el Grupo considera que los medios más eficaces para evitar riesgos inaceptables a la intimidad y reconocer simultáneamente la necesidad de una ejecución eficaz de la ley es que, en principio, los datos sobre tráfico no deberán conservarse a efectos exclusivos de control y que las legislaciones nacionales no deberán obligar a los operadores de telecomunicaciones, proveedores de servicios de telecomunicación y proveedores de servicios Internet a conservar los datos sobre tráfico durante un plazo superior al necesario a efectos de facturación.
El Grupo recomienda que la Comisión Europea proponga medidas apropiadas para una mayor armonización del plazo durante el cual se permite a los operadores de telecomunicaciones, proveedores de servicios de telecomunicación y proveedores de servicio Internet conservar los datos sobre tráfico para facturación y pago de interconexiones(13). El Grupo considera que este plazo deberá ser suficiente para permitir a los consumidores impugnar la factura, pero lo más breve posible para no sobrecargar a los operadores y proveedores de servicios y para respetar los principios de proporcionalidad y especificidad como componentes del derecho a la intimidad.
(13) En vista de este objetivo, no se justifica ninguna distinción entre operadores privados y públicos
Este plazo debe ser conforme con los mayores niveles de protección observados en los Estados miembros. El Grupo llama la atención sobre el hecho de que en varios Estados miembros se han aplicado satisfactoriamente plazos no superiores a tres meses.
Por último, el Grupo recomienda que los gobiernos nacionales tengan en cuenta estas consideraciones.
Hecho en Bruselas a 7 de septiembre de 1999
Por el Grupo de Trabajo
El Presidente
Peter HUSTINX