Spanish Pundit (II)

noviembre 6, 2007

Conservación de datos electrónicos: Directiva comunitaria

Desde hace varios días vengo observando que todas las culpas se las llevan los partidos nacionales sobre la nueva Ley de Conservación de Datos de la Comunicaciones Electrónicas que se ha aprobado en el Congreso justo antes del Puente.

Es curioso que NADIE ha hecho referencia a por qué se aprueba esta Ley, cuando desde mi punto de vista esto es lo que habia que haber hecho desde el principio. Sin ánimo de defender a ningún partido político español (el PSOE me parece patético, por no utilizar otro lenguaje impropio de mí, y el PP se puede ir olvidando del voto en las próximas elecciones y de este blog en cualquier agregador que tenga que ver con él, aunque dudo mucho que esto les cause mucha presión; a los demás ni los menciono), creo que hay que poner a las cosas en sus justos términos.

La Ley en cuestión es una trasposición de la correspondiente Directiva comunitaria llamada (porque para qué va a tener un nombre corto):  DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. Hay más directivas relacionadas que podeis encontrar aquí.

Copio y comento algunos artículos porque me parece que son de interés:

Artículo 1
Objeto y ámbito
1.La presente Directiva se propone armonizar las disposiciones de los Estados miembros relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro.
2. La presente Directiva se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o al usuario registrado. No se aplicará al contenido de las comunicaciones electrónicas, lo que incluye la información consultada utilizando una red de comunicaciones electrónicas.

En primer lugar y como ya he dicho en un comentario, la Directiva no tiene fuerza vinculante excepto para los Estados mientras dura el período de transposición. PERO una vez que termina dicho plazo cualquier persona interesada en que se aplique puede demandar al Estado por daños y perjuicios. Así que estoy segura de que, si  no se transpusiera alguien siempre iba a encontrar la manera de exigir esos daños y perjuicios.

Pero la parte subrayada en negita y rojo es precisamente el núcleo de la cuestión. Es un resumen de la directiva y de la Ley. Con ese contenido, ¿qué contenido pensabais que iba a tener la Ley?

Artículo 2
Definiciones
1. A efectos de la presente Directiva, se aplicarán las definiciones de la Directiva 95/46/CE, de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (2), y de la Directiva 2002/58/CE.

2. A efectos de la presente Directiva, se entenderá por:
a) «datos»: los datos de tráfico y de localización y los datos relacionados necesarios para identificar al abonado o

b) «usuario»: toda persona física o jurídica que utilice un servicio de comunicaciones electrónicas de acceso público, con fines privados o comerciales, sin haberse necesariamente abonado a dicho servicio;
c) «servicio telefónico»: las llamadas (incluida la transmisión de voz, buzones vocales, conferencias y datos), los servicios suplementarios (incluido el reenvío o transferencia de llamadas) y los servicios de mensajería y servicios multimedia (incluidos los servicios de mensajes cortos, servicios multimedia avanzados y servicios multimedia);
d) «identificador de usuario»: un identificador único asignado a las personas con motivo de su abono a un servicio de acceso a Internet o a un servicio de comunicaciones por Internet, o de su registro en uno de dichos servicios;
e) «identificador de celda»: la identidad de la celda desde la que se origina o termina una llamada de teléfono móvil;
f) «llamada telefónica infructuosa»: una comunicación en el transcurso de la cual se ha realizado con éxito una llamada telefónica pero sin contestación o en la que ha habido una intervención por parte del gestor de la red.

No creo que haya dudas sobre ninguno de estos conceptos. Que aclaran más lo visto antes.

Artículo 3
Obligación de conservar datos
1. Como excepción a los artículos 5, 6 y 9 de la Directiva 2002/58/CE, los Estados miembros adoptarán medidas para garantizar que los datos especificados en el artículo 5 de la presente Directiva se conservan de conformidad con lo dispuesto en ella en la medida en que son generados o tratados por proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones que estén bajo su jurisdicción en el marco de la prestación de los servicios de comunicaciones de que se trate.
2. La obligación de conservar datos mencionada en el apartado 1 incluirá la conservación de los datos especificados en el artículo 5 en relación con las llamadas telefónicas infructuosas en las que los datos los generan o tratan, y conservan (en lo que a los datos telefónicos se refiere) o registran (en lo que a los datos de Internet se refiere), proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones que estén bajo la jurisdicción del Estado miembro de que se trate en el marco de la prestación de los servicios de comunicaciones en cuestión. La conservación de datos en relación con las llamadas no conectadas no será obligatoria con arreglo a la presente Directiva.

Artículo 4
Acceso a los datos
Los Estados miembros adoptarán medidas para garantizar que los datos conservados de conformidad con la presente Directiva solamente se proporcionen a las autoridades nacionales competentes, en casos específicos y de conformidad con la legislación nacional. Cada Estado miembro definirá en su legislación nacional el procedimiento que deba seguirse y las condiciones que deban cumplirse para tener acceso a los datos conservados de conformidad con los requisitos de necesidad y proporcionalidad, de conformidad con las disposiciones pertinentes del Derecho de la Unión o del Derecho internacional público, y en particular el CEDH en la interpretación del Tribunal Europeo de Derechos Humanos.

Estos artículos ya los copié en su día. Y simplemente determinan cómo interpretar los anteriores.

Después vienen las categorías de datos, que la Ley española puede poco más que copiarlos.

Artículo 6
Períodos de conservación
Los Estados miembros garantizarán que las categorías de datos mencionadas en el artículo 5 se conserven por un período de tiempo que no sea inferior a seis meses ni superior a dos años a partir de la fecha de la comunicación.

Ojo: son los Estados quienes deben garantizar que no se pierden/manipulan los datos, no las empresas de telecomunicaciones o la Unión Europea. Si se diera pérdida o manipulación, según este artículo, son los Estados miembros los que responden frente a la Unión Europea.

Respecto del plazo, ver artículo 12 más abajo.

Se desarrolla esta responsabilidad en el artículo siguiente:

Artículo 7
Protección y seguridad de los datos
Sin perjuicio de lo dispuesto en las disposiciones adoptadas de conformidad con las Directivas 95/46/CE y 2002/58/CE, los Estados miembros velarán por que los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones cumplan, en lo que respecta a los datos conservados de conformidad con la presente Directiva, como mínimo los siguientes principios de seguridad de los datos:
a) los datos conservados serán de la misma calidad y estarán sometidos a las mismas normas de seguridad y protección que los datos existentes en la red;

b) los datos estarán sujetos a las medidas técnicas y organizativas adecuadas para protegerlos de la destrucción accidental o ilícita, pérdida accidental o alteración, así como almacenamiento, tratamiento, acceso o divulgación no autorizados o ilícitos;
c) los datos estarán sujetos a medidas técnicas y organizativas apropiadas para velar por que sólo puedan acceder a ellos las personas especialmente autorizadas,
y d) los datos, excepto los que hayan sido accesibles y se hayan conservado, se destruirán al término del período de conservación.

O sea, que el Estado miembro puede demandar por negligencia al operador que pierda los datos o cuyos datos sean manipulados. La Unión Europea, la principal encargada de este engendro mitológico, se lava las manos.

Y aquí viene lo divertido:

Artículo 8
Requisitos de almacenamiento para los datos conservados Los Estados miembros garantizarán que los datos especificados en el artículo 5 se conservan de conformidad con la presente Directiva de manera que los datos conservados y cualquier otra información necesaria con ellos relacionada puedan transmitirse sin demora cuando las autoridades competentes así lo soliciten.

Léase: en el momento en que se les pida, todos a cuadrarse, dando igual los datos y la persona sobre la cual se pida. Ojo a lo que pueda considerarse como “cualquier otra información necesaria con ellos relacionada”. ¿A qué información se refiere? ¿Mi color de pelo? ¿Las enfermedades que tengo? ¿En qué trabajo? ¿Dónde estuve de vacaciones? ¿El contenido de las comunicaciones? Arriba pone que el contenido no se almacenará pero entonces, ¿por qué no se aclara cuál es esa otra inforamación relacionada?

Artículo 9
Autoridades de control
1. Cada Estado miembro nombrará una o más autoridades públicas responsables de controlar la aplicación en su  territorio de las disposiciones adoptadas por los Estados miembros de conformidad con el artículo 7 en relación con la seguridad de los datos conservados. Dichas autoridades podrán ser las mencionadas en el artículo 28 de la Directiva 95/46/CE.
2. Las autoridades mencionadas en el apartado 1 actuarán con plena independencia en el ejercicio del control a que se refiere el apartado 1.

Esto es lo más que pueden hacer los Estados (junto con algo más peligroso, ver artículo 12): nombrar la autoridad de control. Bienvenidos a la soberanía estatal, made in EU.

Como no podía ser menos hay que elaborar estadísticas:

Artículo 10
Estadísticas
1. Los Estados miembros velarán por que se faciliten anualmente a la Comisión las estadísticas sobre la conservación de datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones. Tales estadísticas incluirán:
— los casos en que se haya facilitado información a las  autoridades competentes de conformidad con el Derecho nacional aplicable,
— el tiempo transcurrido entre la fecha en que se conservaron los datos y la fecha en que la autoridad competente solicitó su transmisión,

— los casos en que no pudieron satisfacerse las solicitudes de
datos.
2. Tales estadísticas no contendrán datos personales.

Pero claro, a mí que las estadísticas no contengan datos personales con todo lo que hemos visto antes, me da igual. Preferiría sabe que mis datos han sido facilitados. Si alguien está manejando información que me pertenece, mi derecho es saberlo. Y por qué la está manejando. Nótese que en ningún caso se dice que el usuario tenga que ser advertido de que sus comunicaciones han sido entregadas a la autoridad de control.

Artículo 12
Medidas futuras
1. Todo Estado miembro que deba hacer frente a circunstancias especiales que justifiquen una ampliación limitada del período máximo de conservación recogido en el artículo 6 podrá adoptar las medidas que se impongan. El Estado miembro en cuestión informará inmediatamente a la Comisión y a los demás Estados miembros sobre las medidas adoptadas de conformidad con el presente artículo e indicará las razones que le llevan a adoptarlas.
2. En un plazo de seis meses tras la notificación mencionada en el apartado 1, la Comisión aprobará o rechazará las medidas nacionales en cuestión después de haber examinado si  constituyen una discriminación arbitraria o una restricción encubierta al comercio entre los Estados miembros o constituyen un obstáculo para el funcionamiento del mercado interior. En caso de que la Comisión no adopte ninguna decisión en dicho plazo se considerará que las medidas nacionales han sido aprobadas.
3. Cuando, en virtud del apartado 2, las medidas nacionales adoptadas por un Estado miembro se aparten de las disposiciones de la presente Directiva, la Comisión examinará la oportunidad de proponer la modificación de la presente Directiva.

Muy bien: de modo que no es por el tiempo limitado a que se refiere el artículo 6, si no que en determinadas circunstancias (que la Directiva no especifica, o sea que deberán hacerlo los Estados miembros, ejem, muy peligroso), podrán aumentarse los plazos del artículo 6.

Fijaos que la única causa que anulará las decisiones tomadas por los Estados, NO es que vaya en contra de los derechos de los ciudadanos, si no que vaya en contra de la libertad de circulación de las mercancías.

Artículo 13
Recursos judiciales, responsabilidad y sanciones
1. Cada Estado miembro adoptará las medidas que se impongan para velar por que se apliquen plenamente, en lo que se refiere al tratamiento de datos en el marco de la presente Directiva,  las medidas nacionales de aplicación del capítulo III de la Directiva 95/46/CE relativas al establecimiento de recursos judiciales, responsabilidad y sanciones.
2. Cada Estado miembro adoptará, en particular, las medidas que se impongan para velar por que cualquier acceso intencionado o la transferencia de datos conservados de conformidad con la presente Directiva que no estén permitidos por la legislación nacional adoptada de conformidad con la presente Directiva se castiguen con sanciones, incluidas sanciones administrativas o penales, que sean eficaces, proporcionadas y disuasorias.

Ejem… pero es que los datos que ayuden a identificarme no deberían NUNCA estar en manos de nadie porque eso es un ataque a) contra mi privacidad (si quisiera escribir con mi nombre, apellidos y foto, ya lo habría hecho) y b) contra mi libertad de expresión, porque ahora siempre quedará la duda de si mis datos han sido pedidos o no. POr eso decía arriba que en este caso preferiría que las estadísticas fueran públicas: así al menos, sabríamos si nuestros datos han sido pedidos o no.

Artículo 15
Transposición
1. Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar el 15 de septiembre de 2007. Informarán de ello inmediatamente a la Comisión. Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2. Los Estados miembros comunicarán a la Comisión el texto
de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
3. Cada Estado miembro podrá aplazar hasta el 15 de marzo de 2009 la aplicación de la presente Directiva en lo que se refiere a la conservación de los datos de comunicaciones en relación con el acceso a Internet, la telefonía por Internet y el correo electrónico por Internet. Los Estados miembros que se propongan recurrir al presente apartado lo notificarán al Consejo y a la Comisión, mediante una declaración, en el momento de la adopción de la presente Directiva. Tal declaración se publicará en el Diario Oficial de la Unión Europea.

Aquí es lo que decía al principio. Como veis como ya ha pasado el plazo de transposición y como mucho se puede esperar al 15 de marzo de 2009 para empezar a conservar los datos.

Lo demás no es interesante a estos efectos. Pero si quereis el link (es un pdf que os podeis descargar) lo puesto arriba y está aqui en español.

Directiva 95/46 sobre tratamiento de datos personales y libre circulación de estos (también en español). Por si alguien quiere leérsela.

7 comentarios »

  1. Supongo que te enfadarás pero es que habría que detruir la absurda buroracia europea. no sierve para nada excepto para el mal y el dispendio.
    Panda gandules sobreinflamados.

    Comentario por Ignacio — noviembre 6, 2007 @ 4:06 pm | Responder

  2. Me preocupa identificar en todo esto ciertas cosas que he leído en libros de ciencia-ficción que auguraban un futuro con ciudadanos controlados hasta el extremo por el Estado. En vez de avanzar, vamos hacia atrás.

    Comentario por Elentir — noviembre 6, 2007 @ 5:18 pm | Responder

  3. Ignacio: Claro, es que soy demasiado sensible…
    Lo que a mí me asombra es que se dé muchísima importancia a la Ley del Parlamento español, se diga qué malo es el PSOE/PP (en este caso, son lo mismo) por aprobar esto o aquello, pero NADIE comprenda que lo que se aprueba en Bruselas es tan obligatorio como lo que se aprueba aquí. Que NADIE lo denuncie. Y cuando se hace se diga simplemente “lo queremos destruir” (cosa que tampoco me desagradaría, dicho sea de paso: es como la ONU, una organización que sirve para a) más chupópteros y mucha menos cercanía al ciudadano y efectividad). Si estas cosas (y como estas hay miles) no se dicen, mucha gente seguirá creyendo que la culpa es de tal o cual partido nacional y no. En el caso de los reglamentos comunitarios, nos obligan, sin siquiera pasar este trámite de transposición. ¿Alguien se da cuenta de lo que eso significa? Nuestro Parlamento ni siquiera tiene que considerar si son o no conformes a nuestra legislación.

    A mí más que lo que el PP haga aquí, me molesta que no protestaran cuando esta Directiva estaba en trámites de aprobación en Bruselas. Ahí fue cuando debieron decir: “ehh, que esto es un estado policial“. Pero ¿ahora? Ahora ya no tiene remedio…

    elentir: Bueno, es normal. La realidad siempre supera a la ficción. 😦

    Eso sí, luego protestan de Guantánamo: las personas que están detenidas en la prisión de EEUU han cometido un delito. Con esta norma es como si todos lo hubiéramos cometido. En vez de guerra preventiva, es “seguridad preventiva“.

    Comentario por Lady Vorzheva — noviembre 6, 2007 @ 5:50 pm | Responder

  4. Te enlazo la entrada desde mi blog.

    P.D. Mira en tu blog de WP y en el de blogaught que te he dejado un par de comentarios con mi correo ‘bueno’ ^_^

    Comentario por El Cerrajero — noviembre 6, 2007 @ 8:47 pm | Responder

  5. Bueno, acabo de arreglar unas cosillas en mi inconsistente interpretación de esta Ley gracias a las aclaraciones de tu artículo.
    Lo leí también en el de Ignacio, dígolo ya que está aquí.

    Esto tiene pinta de la semilla de un 1984, aunque en muchos sentidos llevamos muchos años viviendo en 1984. Mi temor a esa Ley era una escena tal que un día llama a tu puerta la policía:
    -Usted ha escrito esto.
    -Sí, pero eso no es delito.
    -Eso no, pero además hemos revisado todos su datos y hemos encontrado descargas de material con propiedad intelectual…

    Es decir que sirva como excusa para quitar de en medio o amedrentar a quien resulte molesto.

    Comentario por Herel — noviembre 6, 2007 @ 8:54 pm | Responder

  6. Cerrajero: siento la tardanza en contestar pero últimamente no tengo mucho tiempo (hoy ni he leído los RSS). Gracias por el enlace y ya borraré el mensaje que pusiste sólo para dejarme el mail (el del blog en blogaught contiene un comentario aparte).

    Herel: de eso se trata exactamente. La blogosfera puede que tenga fallos pero da voz a mucha gente sobre temas muy variados y los políticos empezaban a sentir que les estaba superando. La campaña en Inglaterra contra la integración plena en la UE, por ejemplo, no ha tenido mucha importancia en los medios pero sí en la blogosfera.

    Con esto la UE se asegura de tenernos a todos muy controlados, por la cuenta que le trae. Con la aquiescencia de los gobiernos que ya sabemos todos cómo son.

    Comentario por Lady Vorzheva — noviembre 7, 2007 @ 5:08 pm | Responder

  7. […] en España ni fuera. Es el paso lógico desde el punto de vista europeo, una vez que se aprobó la Directiva de Conservación de Datos Electrónicos y en España, la ley que la transpone. Con ambas normas, cada vez que cualquier persona dentro de […]

    Pingback por Fighting for a free internet: why is it necessary? « Spanish Pundit (II) — junio 15, 2008 @ 8:23 pm | Responder


RSS feed for comments on this post. TrackBack URI

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Blog de WordPress.com.

A %d blogueros les gusta esto: