Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones

La noticia del día es la publicación de la Ley que incorpora al ordenamiento español la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio.

También se trasladan, por tanto, algunos puntos oscuros e imprecisiones de la propia Directiva, aunque se resuelven otros, como el procedimiento para las cesiones y quién soportará los costes de las medidas (las operadoras).

Sobre los datos en concreto que deben conservarse, les remito al artículo 3 de la Ley, que copia literalmente la Directiva, y lo amplía a los servicios suplementarios (incluido el reenvío o transferencia de llamadas) y servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia avanzados y servicios multimedia).

El período de conservación es de doce meses, pero se permite que por reglamento para determinados datos se extienda hasta los dos años o se reduzca a seis meses, sin perjuicio de lo previsto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, impreciso y nefasto ya que obliga a conjeturar qué suerte de responsabilidad puede nacer del tratamiento y su correspondiente plazo de prescripción.

Como garantía para las cesiones (Fuerzas y Cuerpos de Seguridad y Dirección Adjunta de Vigilancia Aduanera, cuando desempeñen funciones de policía judicial, y al Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades) se exige autorización judicial previa, siendo que afecta al secreto de las comunicaciones, que deberá justificar la medida de acuerdo con los principios de necesidad y proporcionalidad y concretar los datos que habrán de cederse. Si la resolución no establece un plazo concreto para hacerla efectiva deberá realizarse dentro de las setenta y dos horas contadas a partir de las 8:00 horas del día laborable siguiente a aquél en que el sujeto obligado reciba la orden.

Como excepción al régimen general de la LOPD, se establece expresamente que el responsable del tratamiento de los datos no comunicará la cesión de datos efectuada de conformidad con esta Ley, pudiendo denegar la cancelación de los datos que soliciten los usuarios basándose en estas previsiones.

Para los servicios de telefonía prepago será obligatorio llevar un libro-registro en el que conste la identidad de los clientes que adquieran las correspondientes tarjetas, en el que se hará constar el nombre, apellidos y la nacionalidad del comprador, así como el número correspondiente al documento identificativo utilizado y la naturaleza o denominación de dicho documento (DNI, NIE, Pasaporte). En el supuesto de personas jurídicas, la identificación se realizará aportando la tarjeta de identificación fiscal, y se hará constar en el libro-registro la denominación social y el código de identificación fiscal, lo cual resulta curioso cuando las personas jurídicas no pueden cometer delitos, en principio lo que tratan de perseguir tanto la Directiva como esta ley.

Me llama la atención que se modifica el artículo 33 de la Ley General de Telecomunicaciones para ampliar el secreto de las comunicaciones, indicando que los operadores están obligados a realizar las interceptaciones que se autoricen de acuerdo con lo establecido en el artículo 579 de la Ley de Enjuiciamiento Criminal, en la Ley Orgánica 2/2002, de 6 de mayo, Reguladora del Control Judicial Previo del Centro Nacional de Inteligencia y en otras normas con rango de Ley Orgánica, cuando precisamente esta ley no tiene ese rango. Tampoco se pierdan la relación de datos que pueden llegar a interceptarse según esa modificación, que excede tanto de lo previsto en la Directiva como de lo previsto en el artículo 3 de la Ley, claro que en realidad estamos hablando de supuestos distintos.

Para las operadoras, sepan que tienen un plazo de seis meses para adaptarse (salvo para los servicios prepago).

Traten de ser optimistas. También se puede ver la ley como un límite de la información sobre las comunicaciones que pueden monitorizar y guardar las operadoras, quedando salvaguardada para todo aquello que no sea la persecución de un delito, lo que es un jarro de agua fría para los titulares de derechos de propiedad intelectual que se vulneran en la red.

3 Comentarios

Enlace permanente

Comentario 1

Por

David

Publicado el

19/10/2007

Hola:

Tengo una pregunta, y algunas relacionadas, sobre la que has pasado y que alguna vez hemos comentado.

Si la ley no tiene caracter orgánico en ninguno de sus apartados, cuanto tiempo tiene que mantener una empresa sus datos cancelados, ¿el tiempo de prescripción de las responsabilidades?

¿Se aplica lo anterior a los datos de tráfico o esta ley los excluye?

¿Si los datos deben ponerse a disposición para la persecución de los delitos, no serí más lógico que lo estuviesen el tiempo de prescripción de los mismos?

Otra anotación sobre la ley, ¿Cuales son los delitos graves? los que el codigo penal cataloga como tales, supongo, pues pocos delitos en internet pueden ser calificados como graves (+ de 3 años de carcel) En el resto de los delitos no se deben ceder los datos?

Es que lo estoy leyendo y me parece de un absurdo todo….

Un saludo

PS: ¡Que legislador nos ha tocado sufrir, madre mía!
Enlace permanente

Comentario 2

Por

Sergio Carrasco

Publicado el

19/10/2007

Le estoy pegando un vistazo, y en esperas de poder analizar aún más las posibilidades cuando termine de hacer un par de cosas veo un par de cosas también problemáticas desde el punto de vista técnico.

La obligación del Art. 3.1.b.2 implica una identificación del protocolo típico del VoIP, cuando en realidad existen mecanismos de encapsulado que impide una identificación clara y precisa más allá de que nos encontramos ante una conexión segura (aunque tal vez quieran limitarse a aplicaciones de VoIP que eventualmente utilicen las operadoras clásicas). Me parece que se va a volver a ver el tema de “programas que detectan X con 100% de fiabilidad” como sucedió en otros países con el P2P, desarrollados por la empresa Y y que al final no llegan a nada. Acaso se prohibirá cualquier tipo de conexión mediante tunneling? (o en dichos supuestos existirá una presunción de existencia de comunicación?)

También me gustará ver que tipo de implementación llevarán a cabo las empresas, dado que mantener datos durante un plazo tan grande provocará que nos encontremos ante bases de datos pesadas y con gran contenido (además de un gran número de accesos recurrentes), con los peligros que puede llegar a tener un acceso no permitido a la misma (prefiero no recordar cómo “funcionaba” en una conocida empresa de telecomunicaciones una base de datos que tenía un uso bastante menor). Me da la sensación que la AEPD acabará teniendo mucho trabajo . Habrá que ver el resultado al que se llega, pero lo cierto es que miedo me da.

Un saludo
Enlace permanente

Comentario 3

Por

Javier

Publicado el

23/10/2007

Buenas preguntas David. El embrollo está asegurado.

Tal como lo veo yo, esta ley desdobla el régimen, y por un lado tendremos los datos o información relativa al contenido de la comunicación, que se regula por la LGT y respecto de los cuales no sólo no existe esa obligación previa de conservación sino que las operadoras no pueden acceder a los mismos si no es con mandato judicial y para aportarlas a un procedimiento, y por otro los datos relativos al origen, destino, tipo de servicios,… digamos el envoltorio de las comunicaciones, entre los que estarían los datos de tráfico, que se regulan por esta ley y se guardan con carácter preventivo, aunque también sólo se ceden si lo dice un Juez.

Así pues, efectivamente como dices, si la ley sólo prevé perseguir delitos, el plazo de conservación debería ser el de prescripción de los mismos. Por graves, si seguimos la Directiva serán los relacionados con el terrorismo, redes, financiación,… digo yo, pero es cierto es muy impreciso.

Sergio, no sé si el legislador ha pensado tanto como tú.

Publica un Comentario

Tu email nunca será publicado o compartido. Los campos obligatorios están marcados.

Protección de Datos

A efectos del cumplimiento con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se le informa de que los datos facilitados por Ud., incluyendo la dirección IP del equipo desde el que accede, serán incluidos en un fichero propiedad de Javier Prenafeta Rodríguez, con D.N.I. núm. 29.109.617N y domicilio en calle Uncastillo, 3, 5o. D, 50008 Zaragoza, y utilizados únicamente para la gestión de los comentarios de esta bitácora y el seguimiento de las estadísticas de acceso. Mediante el envío de la información anterior, presta Ud. consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario.

Sus datos serán tratados de forma confidencial, aplicándose las medidas técnicas u organizativas establecidas en la legislación vigente para evitar su acceso, manipulación o eliminación indebidas, sin que, salvo consentimiento expreso por su parte, vayan a ser cedidos a otras entidades o terceras personas fuera de los casos legalmente permitidos. No obstante, Ud. puede, en cualquier momento, ejercer sus derechos de acceso, cancelación o rectificación en relación con dichos datos, solicitándolo a la dirección jp@jprenafeta.com o a través de la página de contacto.