Horacio Fernandez Delpech - DERECHO INFORMATICO

HFD> Publicaciones Trabajos

Nueva Directiva de la Unión Europea sobre Conservación de Datos de Tráfico

Por Horacio Fernández Delpech [1]

I.-

Finalmente el 21 de Febrero de 2006 el Consejo de Ministros de la Unión Europea ha dado aprobación final a la Directiva sobre Consevación de Datos de Tráfico y de Localización Telefónicos y de Comunicaciones Electrónicas [2]

Esta nueva Directiva, que aun no ha sido publicada, obliga a los operadores de telecomunicaciones telefónicas y de Internet a almacenar los datos de tráfico y de localización de las comunicaciones durante un período de entre 6 y 24 meses.

El texto final aprobado incluye una serie de enmiendas al texto inicial elaborado por la Comisión Europea y aprobado por el Parlamento Europeo en Diciembre de 2005. Estas enmiendas tienden a proteger los derechos de los ciudadanos y su privacidad.

Sin perjuicio de que no contamos aun con la versión oficial de la Directiva, ya que como dijera, la misma no ha sido aun publicada en el diario oficial de la Unión Europea, efectuaré a continuación un breve resumen de sus principales disposiciones, partiendo para ello de un texto no oficial.

El objetivo de la Directiva es tratar de armonizar las legislaciones de los estados miembros de la Unión Europea, relacionadas con la obligación de los Proveedores de los Servicios de Comunicaciones de conservación de determinados datos de tráfico, a fin de que los mismos estén disponibles a los fines de la investigación, detección y enjuiciamiento de delitos graves, según estén estos definidos en la legislación nacional de cada estado miembro, principalmente los relacionadas con el terrorismo y el crimen organizado.

El texto originario incluía también a “la prevención de delitos”, pero esta frase fue eliminada en el texto aprobado por el Parlamento Europeo.

Con relación a los delitos graves a los que la Directiva se refiere, la Declaración del Consejo relativa al art. 1 de la Directiva, contenida en la en la Adenda del 17.2.2006, establece “Al definir los delitos graves en su legislación nacional, los Estados miembros tomarán debidamente en consideración los delitos incluidos en la lista del artículo 2 apartado 2, de la Decisión Marco sobre la orden de detención europea (2002/584/JAI) y los delitos relacionados con las telecomunicaciones“.

Por su parte la Decisión Marco del Consejo de la Unión Europea de 13 de junio de 2002 relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (2002/584/JAI), en su artículo 2 apartado 2, incluye a los delitos siguientes, siempre que estén castigados en el Estado miembro emisor con una pena o una medida de seguridad privativas de libertad de un máximo de al menos tres años, tal como se definen en el Derecho del Estado miembro emisor:

- pertenencia a organización delictiva,

- terrorismo,

- trata de seres humanos,

- explotación sexual de los niños y pornografía infantil,

- tráfico ilícito de estupefacientes y sustancias psicotrópicas,

- tráfico ilícito de armas, municiones y explosivos,

- corrupción,

- fraude, incluido el que afecte a los intereses financieros de las Comunidades

Europeas con arreglo al Convenio de 26 de julio de 1995 relativo a la protección de

los intereses financieros de las Comunidades Europeas,

- blanqueo del producto del delito,

- falsificación de moneda, incluida la falsificación del euro,

- delitos de alta tecnología, en particular delito informático,

- delitos contra el medio ambiente, incluido el tráfico ilícito de especies animales

protegidas y de especies y variedades vegetales protegidas,

- ayuda a la entrada y residencia en situación ilegal,

- homicidio voluntario, agresión con lesiones graves,

- tráfico ilícito de órganos y tejidos humanos,

- secuestro, detención ilegal y toma de rehenes,

- racismo y xenofobia,

- robos organizados o a mano armada,

- tráfico ilícito de bienes culturales, incluidas las antigüedades y las obras de arte,

- estafa,

- chantaje y extorsión de fondos,

- violación de derechos de propiedad industrial y falsificación de mercancías,

- falsificación de documentos administrativos y tráfico de documentos falsos,

- falsificación de medios de pago,

- tráfico ilícito de sustancias hormonales y otros factores de crecimiento,

- tráfico ilícito de materiales radiactivos o sustancias nucleares,

- tráfico de vehículos robados,

Los datos a retener serán los datos de tráfico y de localización sobre personas físicas y jurídicas, y los datos relacionados necesarios para identificar al abonado o al usuario registrado.

Expresamente, la Directiva establece que no se aplicará “al contenido de las comunicaciones electrónicas”.

En el detallado artículo 5, la Directiva amplía y precisa cuales son los datos de tráfico y de localización y datos relacionados que deberán retenerse.

Dada la importancia de esta detallada y precisa norma considero conveniente transcribirla en forma total.

“Artículo 5. Categorías de datos que deben conservarse

1. Los Estados miembros garantizarán que las siguientes categorías de datos se conserven de conformidad con la presente Directiva:

a) datos necesarios para rastrear e identificar el origen de una comunicación:

1) con respecto a la telefonía de red fija y a la telefonía móvil:

I. el numero de teléfono de llamada;

II. el nombre y la dirección del abonado o usuario registrado

2) con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

I. la identificación de usuario asignada;

II. la identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía;

III. el nombre y la dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo Internet (IP), una identificación de usuario o un número de teléfono:

b) datos necesarios para identificar el destino de una comunicación

1) con respecto a la telefonía de red fija y a la telefonía móvil:

I. el número o números marcados (el numero o números de teléfono de destino)y, en aquellos caso en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieran las llamadas;

II. los nombres y las direcciones de los abonados o usuarios registrados;

2) con respecto al correo electrónico por Internet y a la telefonía por Internet:

I. la identificación de usuario o el numero de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet;

II. los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación;

c) datos necesarios para identificar la fecha, hora y duración de una comunicación:

1) con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación;

2) con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

I. la fecha y hora de la conexión y desconexión del servicio de acceso a la Internet, basadas en un determinado huso horario, así como la dirección de Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, así como la identificación de usuario del abonado o del usuario registrado;

II. la fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario;

d) datos necesarios para identificar el tipo de comunicación:

1) con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado;

2) con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado;

e) datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

1) con respecto a la telefonía de red fija: los números de teléfono de origen y destino;

2) con respecto a la telefonía móvil:

I. los números de teléfono de origen y destino;

II. la identificación internacional del abonado móvil (IMSI) de la parte que efectúa la llamada;

III. la identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada;

IV. la IMSI de la parte que recibe la llamada;

V. la IMEI de la parte que recibe la llamada;

VI. en el caso de los servicios anónimos de pago por adelantado, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se ha ya activado el servicio.

3) con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

I. el numero de teléfono de origen en caso de acceso mediante marcado de números;

II. la línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación;

f) datos necesarios para identificar la localización del equipo de comunicación móvil:

1) la etiqueta de localización (identificador de celda) al comienzo de la comunicación;

2) los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones.

2. De conformidad con la presente Directiva, no podrá conservarse ningún dato que revele el contenido de la comunicación”

En el artículo cuarto se dispone que los estados deben adoptar medidas para garantizar que los datos conservados se proporcionen sólo a las autoridades competentes de cada estado, y que estos deben definir en su legislaciones el procedimiento que deba seguirse y las condiciones que deban cumplirse para tener acceso a los datos conservados de conformidad con los requisitos de necesidad y proporcionalidad.

En el artículo séptimo se establece también la obligación de los estados de velar por que los proveedores de servicios de comunicaciones cumplan, respecto de los datos conservados, como mínimo, los siguientes principios de seguridad e los datos:

a) los datos conservados serán de la misma calidad y estarán sometidos a las mismas normas de seguridad y protección que los datos existentes en la red;

b) los datos estarán sujetos a las medidas tecnológicas y organizativas adecuadas para protegerlos de la destrucción accidental o ilícita, perdida accidental o alteración, así como almacenamiento, tratamiento, acceso o divulgación no autorizados o ilícitos;

c) los datos estarán sujetos a medidas técnicas y organizativas apropiadas para velar por que sólo puedan acceder a ellos las personas especialmente autorizadas; y

d) Los datos, excepto los que hayan sido accesible y se hayan conservado, se destruirán al término del período de conservación.

Con relación al plazo de conservación, tema que fue objeto de amplio debate, se acordó en el art. 6 que cada estado miembro resuelva a ese respecto dentro de un período mínimo de 6 meses y máximo de 24 meses a partir de la fecha de la comunicación, si bien se establece que los estados que lo soliciten podrán retener los datos por un plazo mayor.

La Directiva establece un plazo de 18 meses después de su entrada en vigencia para que los Estados miembros de la Unión Europea incorporen la norma a sus legislaciones internas, pero se estipula también que los estados podrán aplazar la aplicación en lo que se refiere a la conservación de los datos de comunicaciones en relación con el acceso a Internet, telefonía por Internet y correo electrónico por Internet, hasta 36 meses después de su entrada en vigencia. Hasta el presente Estonia, el Reino Unido, Chipre, Grecia, Luxemburgo, Eslovenia, Suecia, Lituania, Austria, Letonia, la República Checa, Bélgica, Polonia, Finlandia y Alemania, ya han hecho uso de este aplazamiento. [3]

Por último cabe señalar que la Directiva entrará en vigencia a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

II.-

Antecedentes

Tanto la Directiva General 95/46/EC [4] del Parlamento Europeo y del Consejo relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, como la Directiva 97/66/EC [5] relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las Telecomunicaciones, no aceptaban en forma alguna el almacenamiento de datos de tráfico de las comunicaciones, consagrando el principio de la protección del derecho a la vida privada, precisando como obligación de los estados miembros la protección del secreto de las comunicaciones por medio de normativas nacionales que garanticen la confidencialidad de las comunicaciones efectuadas a través de redes públicas de telecomunicaciones o de servicios de telecomunicaciones accesibles al público.

Sin embargo los atentados del 11 de Septiembre de 2001, hicieron repensar muchas ideas y aceptar, en miras a la seguridad, la restricción de cientos derechos.

Fue así como el 12 de julio de 2002 se aprobó la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. [6]

Allí se establece, como principio general en los arts. 5, 6 y 9, que los datos de tráfico y de localización generados por el uso de servicios de comunicaciones electrónicas deben borrarse o hacerse anónimos cuando ya no sean necesarios para la trasmisión, pero se “faculta a los Estados para establecer excepciones a las normas de destrucción de datos de tráfico (...) para proteger la seguridad y defensa nacional".

Concretamente, el artículo 15 de esta Directiva autorizó a los estados miembros a retener por ciertos períodos datos de tráfico con la finalidad de prevenir e investigar delitos.

A partir de entonces varios estados europeos dictaron normativas que contemplan la conservación de datos, normativas estas que varían sustancialmente en sus contenidos y alcances.

Estas diferencias motivaron la necesidad de dictar una nueva directiva a fin tratar de unificar la legislación de los estados de la UE.

En Mayo de 2004 el Consejo de Europa emitió una declaración sobre la lucha contra el terrorismo en la que se estableció la necesidad de dictar normas comunitarias que garantizasen la disponibilidad de los datos de tráfico con fines antiterroristas.

Fue por todo ello que el Consejo de Europa decidió encarar el estudio de una nueva Directiva sobre la conservación de datos de tráfico, que modificase la Directiva 2002/58/CE, con vistas a su adopción durante el año 2005.

La propuesta de esta nueva Directiva fue presentada el 21.9.2005, aprobada por el Parlamento Europeo en Bruselas el 14.12.2005 y elevada al Consejo de Ministros de Justicia e Interior de los veinticinco, quien luego de efectuarle varias modificaciones, le dió final aprobación el 21 de Febrero de 2006.

Destaco también que el 28 de abril de 2004, el Reino Unido, Francia, Irlanda y Suecia habían presentado una propuesta, conocida como "Propuesta de Decisión Marco sobre Retención de Datos de Tráfico de Comunicaciones Electrónicas", que pretendía armonizar en los Estados Europeos normas mínimas sobre retención de datos de tráfico, dada la importancia que dichos datos tienen hoy en día en la investigación de delitos graves, incluido el terrorismo.

Se estableció allí que la propuesta no vulneraba en modo alguno el derecho fundamental al secreto de las comunicaciones, dado que, como su nombre lo indicaba, se limitaba exclusivamente a los datos de tráfico y no al contenido de tales comunicaciones.
Esta propuesta fue rechazada por el Parlamento Europeo durante el procedimiento de consulta.

III

La retención de los datos de tráfico en las normativas internacionales

Algunos Estados, ya con anterioridad a la nueva Directiva habían establecido la obligación de retención de datos de tráfico, con distintas particularidades.

En España, la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico del 11 de Julio de 2002, en la actual redacción de su art. 12, establece que los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicio de alojamiento de datos, deberán retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses.

Se establece allí también que los referidos datos serán únicamente los necesarios para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información, y que los prestadores de servicio de alojamiento de datos deberán retener sólo aquéllos imprescindibles para identificar el origen de los datos alojados y el momento en que se inició la prestación del servicio, pero que en ningún caso, la obligación de retención de datos afectará al secreto de las comunicaciones.

También la normativa española dispone que los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales.

Se ha justificado esta normativa española en el texto de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, del 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, antes comentada.

Destaco que la normativa Española todavía no se aplica, ya que para que ello sea posible primero debe aprobarse un reglamento que establezca que datos pueden retenerse, en que condiciones y por que período de tiempo, tema este que ha llevado a un agudo debate en España, ya que grupos defensores de los derechos a la privacidad estiman que la norma viola principios constitucionales de defensa de los derechos de los individuos.

Resalto también que la Agencia Española de Protección de Datos ha emitido un informe jurídico por el que considera que la dirección IP, por sí sola, constituye un dato de carácter personal (Informe 327/03) [7]. También la referida Agencia ha considerado a la dirección de correo electrónico como un dato de carácter personal (Memoria Anual 1999). Estas consideraciones de la máxima autoridad en protección de datos personales de España constituye también un obstáculo para la reglamentación de esta obligación establecida en el art. 12 de la LSSICE

En EE.UU. en 1994 fue aprobada la "Communications Assistance for Law Enforcement Act", pero la misma se aplica solamente a las empresas de telecomunicaciones, a las que obliga a prestar una serie de colaboraciones a los fines de aislar e interceptar datos de tráfico y contenido de comunicaciones telefónicas, siempre que existiera orden judicial.

Esta normativa se entendió que no era de aplicación a los Proveedores de Servicio de Internet.

Pero poco tiempo después de los atentados del 11 de Septiembre de 2001, el Congreso de EE.UU. aprobó la H.R.3162, llamada Acta Patriótica, que otorga amplios poderes especiales al FBI y a las agencias de inteligencia de EE.UU. para poder monitorear el tráfico de correo electrónico

En Inglaterra, pese a una gran oposición de numerosas organizaciones, fue aprobada The Regulations of Investigatory Powers (RIPA), que se aplica a los proveedores de servicio de Internet y obliga a retener datos de tráfico e incluso obliga a los proveedores de telecomunicaciones que usan encriptado a entregar a pedido oficial las claves del mismo para poder acceder a la comunicación codificada. También the Anti-Terrorism Crime and Security Act was passed in 2001, Part 11, lo permite a los fines de la seguridad nacional o la lucha contra el delito.

En Italia, el nuevo Código de Protección de Datos Personales vigente desde enero de 2004, admite la conservación de los datos de tráfico por el término de 30 meses.

En otros países se están estudiando normativas al respecto, tal los casos de: Bélgica donde la Computer Crime Act (28 Nov. 2000) admite la conservación para la investigación criminal, pero la norma no se encuentra aun reglamentada.

En Dinamarca la Sec.786 de la ley de Administración de Justicia, admite la obligación de conservación para la investigación policial por el término de un año, pero no se encuentra aun vigente pues debe ser reglamentada.

En Finlandia existe una fuerte corriente de apoyo a su implementación por un período de dos años, pero aun no ha sido establecida.

En Francia se admite a los efectos de la investigación criminal por un año, pero con importantes limitaciones.

En Grecia existe una tendencia a aceptarla por un año

En Suecia es un tema actual de discusión, y se sugiere 12 meses como mínimo de la obligación.

IV.-

En la República Argentina

En la Argentina no existía ninguna normativa relativa a la conservación de los datos de tráfico por parte de las empresas prestadoras de servicios de comunicaciones, sino que solamente algunos proyectos de ley contemplaban estas situaciones.

Tal el caso del Proyecto de Ley Nº 64/02 de delitos informáticos que tuvo durante el año 2003 media aprobación legislativa, pero que finalmente no ha prosperado. En la versión original de este proyecto no se contemplaba ésta situación, pero el posterior dictamen de la Comisión de Asuntos Penales del Senado del 21.11.2002 había propuesto la introducción, como nuevo art. 7, de la obligación de los ISP de conservar los datos de tráfico durante dos años.[8]

Sin perjuicio de este antecedente a fines del año 2003 el Parlamento Argentino sancionó la ley 25873 que incorporó a la ley Nacional de Telecomunicaciones, tres artículos, que fundamentalmente regulan dos aspectos relacionados a las telecomunicaciones:

El primer aspecto de la normativa autoriza la intercepción de las comunicaciones telefónicas o por Internet, incluido los contenidos, pero supeditando esta intercepción a la previa orden judicial o del Ministerio Público.

Se reafirmó así lo que ya dispone la ley 25520 de Inteligencia Nacional en su art. 18 que establece que “cuando en el desarrollo de las actividades de inteligencia o contrainteligencia sea necesario realizar interceptaciones o captaciones de comunicaciones privadas de cualquier tipo, la Secretaría de Inteligencia deberá solicitar la pertinente autorización judicial”

De esta forma se trata de evitar las intercepciones clandestinas o dispuestas sin orden judicial que configuran afrentas reales y concretas al derecho a la privacidad de los individuos.

El segundo aspecto de la ley 25873 establece la obligación de conservación de los datos de tráfico de las comunicaciones por parte de las empresas prestadoras de los servicios y por el término de diez años, con la finalidad de su consulta por parte del Poder Judicial.

Esta exigencia de conservación de los datos de tráfico ya se venía realizando por las empresas telefónicas a efectos de la facturación de los servicios, pero no ocurría así con las proveedores de Servicios de Internet que no conservaban los datos de tráfico del correo electrónico.

Esta conservación de datos, reitero se refiere únicamente a los datos de tráfico, pero nunca a la conservación de los contenidos.

Quizás el plazo de diez años, establecido en la normativa argentina, fue demasiado extenso, ya que en general se ha estimado que el término correcto debe ser de 1 o 2 años.

El 8 de Noviembre de 2004 fue reglamentada la ley 25873 con el dictado del Decreto 1563.

Personalmente entiendo que tal reglamentación no alteró el contenido de la ley, si bien su falta de claridad provocó una aguda polémica en la Argentina, en donde muchos, incluidos los medios periodísticos, informaron erróneamente que tal decreto y la ley que reglamentaba, permitían la conservación de los datos de contenido por el término de diez años, sin ningún requisito.

Esto no es así, ya que como antes expliqué son dos situaciones distintas, y la conservación de los datos por 10 años se refiere a los datos únicamente de tráfico.

Como consecuencia de esta polémica el Gobierno argentino, dictó el Decreto 357/05 que suspendió la aplicación del Decreto 1563.

Por su parte la Justicia Argentina estableció su inconstitucionalidad en una causa tramitada ante la Justicia Contencioso Administrativo de la Capital Federal en un amparo planteado por CABASE.

Personalmente creo que tanto el Decreto 357/05 como el fallo judicial fueron equivocados y privan a la Argentina de una normativa útil y acorde a las modernas legislaciones, que lejos de afectar la privacidad, brinda un importante instrumento en la lucha contra la delincuencia.

V.-

Análisis final

El tema de la retención y conservación de datos en los servicios de comunicaciones electrónicas, entendiendo por tal a la telefonía de red fija o móvil, al acceso a Internet, al correo electrónico y a la telefonía por Internet, motiva desde hace un tiempo agudos y frecuentes debates a nivel doctrinario y legislativo en todo el mundo.

El creciente uso de estos medios de comunicación y de transferencia de datos, está imponiendo la necesidad del estudio de una nueva obligación de los proveedores de estos servicios como necesarios partícipes de estas comunicaciones

Pero cuando se habla de esta nueva obligación de conservación de datos se está haciendo referencia a dos posibles situaciones:

· El almacenamiento y conservación del contenido de las comunicaciones,

· El almacenamiento y conservación de los datos de tráfico relativos a éstas comunicaciones

Según algunos en ambas situaciones podría encontrarse afectado el principio de la confidencialidad de las comunicaciones, principio que hoy en día se encuentra garantizado por diversos instrumentos internacionales y legislaciones nacionales. Gran parte de las Constituciones del mundo dan amparo constitucional a la privacidad de las comunicaciones, y las diversas leyes de Protección de Datos Personales que se están dictando brindan también esta protección.

La creciente capacidad de almacenamiento y tratamiento informático de datos relativos a usuarios de la telefonía, de Internet y del Correo Electrónico que se está produciendo en el mundo, hace cada vez mas necesaria una regulación pormenorizada de estas situaciones y de las obligaciones consecuentes de los proveedores de estos servicios, que establezca un justo límite para lograr un necesario equilibrio entre el derecho a la intimidad y privacidad de las comunicaciones y, ciertas situaciones en que, en miras a un interés general de protección y defensa de la seguridad pública o con la finalidad de la investigación y persecución de delitos, se pueda alterar ese derecho a la privacidad.

Personalmente, y tal como ya lo he afirmado en otras oportunidades [9] , creo que el almacenamiento y conservación del contenido de las comunicaciones electrónicas por parte de los proveedores de los servicios, sólo es posible excepcionalmente:

· Cuando fuera automático, transitorio y necesario para llevar a cabo la transmisión;

· Cuando la ley expresamente así lo establezca y por el tiempo y modalidad establecido por la misma. La normativa debiera disponer que solamente este almacenamiento y conservación sea posible, cuando fuera ordenado previamente y en cada caso por un Juez y con fundamento en la defensa de la seguridad del estado o la investigación de un delito;

· Cuando las partes intervinientes en la transmisión, así lo hayan requerido a los fines de la prueba de una transacción comercial. Esta situación debiera estar también contemplada por la ley y quizás lleve a un futuro no muy lejano en donde encontremos el correo electrónico con copia certificada, o aviso de entrega, etc., similares a los del correo postal.

Como ya lo adelantara, en todos estos casos los proveedores de los servicios deben garantizar la confidencialidad de la información, adoptando las medidas de seguridad necesarias a tal fin.

Fuera de estos supuestos y condiciones, el almacenamiento y conservación del contenido de las comunicaciones viola el derecho a la privacidad, y no pude ser permitido.

Los datos de tráfico, en cambio, no están referidos a los contenidos sino solamente a la duración, fecha, origen y destino, de esas comunicaciones.

La privacidad de la información contenida, consecuentemente, no está allí en peligro.

Lo que se trata es la conservación de los datos de tráfico, entendiendo por tal todos los elementos que hacen a esa transmisión en cuanto a su individualización de partida y llegada, fecha, hora y demás datos, que no impliquen la vulneración y conocimiento del texto contenido en el mensaje.

Se discute así si existe obligación por parte de los proveedores de servicios de conservar durante un período de tiempo relativamente largo los datos de tráfico generados por las comunicaciones establecidas durante la prestación de su servicio, y si con éste almacenamiento y conservación no se está afectando al derecho a la privacidad.

Algunos afirman que ésta conservación de los datos, constituye una violación a uno de los principios mas importantes en materia de protección de datos personales como es el principio de finalidad, que exige que los datos personales se recojan para finalidades determinadas, explícitas y legítimas, y no se traten posteriormente de manera incompatible con ellas.

Sin embargo, creo que muchos son los motivos que aconsejan el establecimiento de la obligación de los proveedores de servicios de guarda de estos datos, y que el motivo fundamental de esta obligación debe buscarse en la prevención e investigación de los delitos graves.

No debemos olvidar que en un mundo cada vez mas inseguro como el que vivimos, la seguridad física de las personas tiene una importancia vital. La sociedad actual necesita protegerse y es por ello que es obligación de los estados, demostrar que se concede la mayor consideración posible a esa necesidad de protección, introduciendo las normas legislativas tendientes a tal fin.

Con relación a ésta obligación de conservación de datos de tráfico se ha dicho reiteradamente que tal obligación se justifica ante la necesidad de conservación tanto de las informaciones canalizadas a través de ellos, como del número o identificación de los equipos de origen y del destino de la comunicación, tiempo de duración de la conexión, volumen de datos transmitidos, todo ello a los fines que estos elementos puedan servir para la investigación y enjuiciamiento de delitos graves y como prueba en procesos judiciales. Este requisito se ha considerado una condición necesaria y fundamental, y trata de garantizar así los derechos de los usuarios al secreto de los datos de conexión que les afecten.

No puedo dejar de señalar que muchas instituciones y grupos europeos se han opuesto tenazmente a la aprobación de la Directiva, alegando que con ella se violan fundamentales principios que hacen a la privacidad y a la intimidad de los individuos, así como que la obligación de conservación generará altísimos costos que deberán afrontar los operados de los servicios.

Entiendo que tal violación a la privacidad y a la intimidad de los individuos no se produce, en la medida que la retención, tal como lo establece la directiva, esté dirigida:

q Al tráfico y no al contenido de las comunicaciones. A este respecto la nueva Directiva es clara, en cuanto dispone expresamente cuales son los datos a retener, y establece en su art. 1.2. que la misma se aplicará “a los datos de tráfico y localización”, y que “no se aplicará al contenido de las comunicaciones”.

q Que el objetivo sea la lucha contra el delito grave, tal como lo establece la Directiva, cuando en el art. 1 al referenciar su objeto, dispone ”con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación de cada estado miembro”

q Que se establezcan claras normas en cuanto a la protección y seguridad de los datos retenidos conforme esta definido en el artículo séptimo.

q Que los plazos de de conservación de datos estén limitados y respondan a necesidades demostradas del sistema penal;

Con relación a los costos que se generaran para las empresas proveedoras de los servicios, destaco que el texto inicial de la Propuesta de Directiva, que fuera aprobado por el Parlamento Europeo en año 2005, establecía en el art. 10 que los estados miembros debían asegurar que los proveedores de servicios de comunicaciones debían ser reembolsados por los costes adicionales que demostrasen haber incurrido para cumplir las obligaciones de conservación impuestas.

Tal compensación había sido incluida en el texto por considerarse que la conservación de datos generaría evidentemente una serie de costos adicionales de consideración para los proveedores de los servicios, y ya que los beneficios, en términos de la seguridad pública, estaban dirigidos a la sociedad en su conjunto, debían ser los estados quienes afrontasen tal costo.

Esta norma no fue incluida en el texto final recientemente aprobado, lo que creo es un aspecto criticable.

Pese a ello y finalmente creo que la Directiva Europea cumple en los demás con los requisitos propuestos y debe servir como marco normalizador y legislativo, no sólo de los estados europeos a los que está dirigida, sino también de los demás países del mundo.

HORACIO FERNANDEZ DELPECH

Buenos Aires, Marzo de 2006

[1] HORACIO FERNÁNDEZ DELPECH, abogado argentino, especialista en Derecho Informático, Profesor Universitario, autor de numerosas publicaciones, entre ellas “Internet: Su Problemática Jurídica” – Editorial LexisNexis-Abeledo Perrot de Buenos Aires. Segunda Edición - Junio de 2004

[2] Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE

[3] Adenda del 27.2.2006 a la Directiva

[4] Directiva del 24.10.1995

[5] Directiva del 15.12.1997

[6] A esta Directiva se la conoce como Directiva sobre la privacidad y las comunicaciones electrónicas [Diario Oficial L 201 de 31 de julio de 2002] y reemplazo a la Directiva 97/66/CE.

[7] El Informe 327/2003 establece que existen distintas maneras de identificar a un usuario de Internet a partir de la dirección IP, ya sea ésta dinámica o estática y que, por tanto, aunque no todos los agentes de Internet tengan la posibilidad de identificar a los usuarios, la mera posibilidad de que la identificación sea posible a partir de una IP, hace que la normativa de protección de datos sea aplicable y que la dirección IP sea un dato de carácter personal porque permite identificar a una persona física, el usuario, o al menos hacerla identificable a través de distintos medios.

[8] El texto propuesto expresa: Dictamen Comisión: “Artículo 7: Deber de conservación de datos. Los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos, deberán conservar los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de los servicios que suministran, por un período de dos años. Los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Público que los requiera.

Los datos que deberán conservar serán únicamente los necesarios para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información o para identificar el origen de los datos alojados y el momento en que se inició la prestación del servicio. En ningún caso, la obligación de conservación de datos afectará la confidencialidad de las comunicaciones, debiendo adoptar las medidas de seguridad apropiadas para evitar su utilización para otros fines no previstos en esta ley, su pérdida o alteración y el acceso no autorizado a los mismos”.

[9] “La Obligación de Conservación de datos en el Correo Electrónico por parte de los Proveedores de Servicio de Internet – Horacio Fernández Delpech – Ponencia presentada en el IV Congreso Mundial de Derecho Informático