LA DIRECCIÓN IP. PROBLEMAS QUE PLANTEA. AUTOR: Eduard Chaveli Donet. NOTA: Este post es un extracto de la contribución del autor en el libro “Fraude electrónico en entidades financieras y usuarios de banca: problemas y soluciones”. - Coordinadora: Sanchís Crespo, Carolina - Editorial: Editorial Aranzadi, S.A. - Fecha de la edición: 2011 - Lugar de la edición: Pamplona. España Puede encontrar más información sobre el libro en la siguiente página Web: http://www.aranzadi.es/index.php/catalogo/tipo/libros/fraude-electronico-entidades-financieras-y-usuarios-de-banca. 1.- INTRODUCCIÓN. La dirección IP “es una etiqueta numérica que identifica, de manera lógica y jerárquica, a una interfaz (elemento de comunicación/conexión) de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo TCP/IP, Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados, generalmente tienen una dirección IP fija (comúnmente, IP fija o IP estática), esta, no cambia con el tiempo. Los servidores de correo, DNS, FTP públicos y servidores de páginas Web necesariamente deben contar con una dirección IP fija o estática, ya que de esta forma se permite su localización en la red. A través de Internet, los ordenadores se conectan entre sí mediante sus respectivas direcciones IP. Sin embargo, a los seres humanos nos es más cómodo utilizar otra notación más fácil de recordar, como los nombres de dominio; la traducción entre unos y otros se resuelve mediante los servidores de nombres de dominio DNS”. De ello se desprende la importancia de la dirección IP como elemento de identificación de los autores o intervinientes en este tipo de delincuencia. 2.- CONSIDERACIÓN DE LA DIRECCIÓN IP COMO DATO DE CARÁCTER PERSONAL. Ahora bien, lo relevante jurídicamente de la dirección IP es consecuencia de su consideración o no como dato de carácter personal, puesto que si nos encontramos ante un dato de carácter personal ello supone que estamos ante un derecho fundamental (art. 18.4 CE) con lo que ello supone de garantías que se han de adoptar en la práctica de pruebas que puedan suponer su vulneración o merma. La vulneración de los derechos fundamentales supone la posibilidad de activar la nulidad de las pruebas así obtenidas. Este interesante tema requiere un estudio minucioso y detallado como el que realiza Elena Martínez en su obra “Actos de investigación e ilicitud de la prueba” y cuya lectura aconsejamos. Ya hemos indicado lo que es una dirección IP. Inicialmente parece poco “normal” pretender considerar a la dirección IP como dato de carácter personal, pues nos encontramos ante un “número” que directamente no identifica a una persona. La definición de dato de carácter personal de la LOPD (art. 3.a) es la siguiente: “Cualquier información concerniente a personas físicas identificadas o identificables”. Y el RDLOPD desarrolla este concepto de la siguiente forma (art. 5.1. f): “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”. expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 2 de 12 Por tanto, para que algo constituya dato de carácter personal no debe necesariamente referirse a una persona identificada “directamente” sino que es posible que nos encontremos ante un dato de carácter personal cuando la persona no sea identificada pero si identificable. El concepto de “persona identificable” nos lo brinda el artículo 5.1.o del RDLOPD del siguiente modo: “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”. Por tanto: dato de carácter personal no es únicamente aquello que directamente identifica a una persona (como puede ser el nombre y apellidos, o su imagen, por poner varios ejemplos), sino que también aquello que la haga identificable. En este sentido existen informes de la Agencia en los que se plasma la opinión de la AEPD y según los cuales tienen también la consideración de dato de carácter personal elementos tan variopintos como el número de teléfono fijo, la dirección de una vivienda, la matrícula de vehículos, o la propia dirección IP. Efectivamente es doctrina reiterada de la AEPD que la IP es un dato de carácter personal. Ya en el año 2003, el informe “Carácter de dato personal de la dirección IP. Informe 327/2003” se concluía que “aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”. Esta conclusión se ha mantenido en informes posteriores próximos al uso que de la IP vamos a considerar como el Informe 213/2004 (denominado “Cesión de la dirección IP a las Fuerzas y Cuerpos de Seguridad”. Se trata de una opinión que ha suscitado muchos debates y críticas. De hecho ha habido resoluciones polémicas en otros países europeos (sujetos a la aplicación del marco común en protección de datos que supone la Directiva 95/46), por ejemplo en Francia. Es cierto que la AEPD recoge las conclusiones del Grupo de Trabajo del Artículo 29. Pero es discutible predicar que una IP identifique a un usuario y no al titular de una línea, dos cosas diferentes, pero que parece que la AEPD y el Grupo del Artículo 29 parecen no distinguir. Ello, además afecta también a la existencia o no de prueba de cargo para desvirtuar la inocencia. Y aunque la Jurisprudencia en éste punto parece exigente, lo cierto es que en la práctica se conjugan diversos elementos fácticos que componen una base probatoria mínima para condenar. expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 3 de 12 El problema se deriva de la consideración de la dirección IP como dato de carácter personal implica la aplicación de la normativa de protección de datos. Y ello supone -por tanto- que estemos ante un derecho fundamental, cuya limitación tiene importantes consecuencias, como analizaremos. Ya desde un inicio eso se proyecta sobre las especiales cautelas o limitación respecto de su retención. Nos centraremos en los problemas que plantea la retención de la IP, sin referirnos a otros actos que posteriormente la siguen en la instrucción, como por ejemplo la entrada y registro en el domicilio del abonado que se practica al objeto de incautar el equipo informático utilizado para la comisión del delito, que también plantean interesantes cuestiones. No obstante, antes de abordar los temas que siguen plateando problemas, haremos referencia a un aspecto que ya ha sido zanjado y es pacífico: el tratamiento de información facilitada por el perjudicado y la captada directamente a través de Internet. 3.- INFORMACIÓN EN PODER DE LOS PERJUDICADOS Y EN INTERNET. Hay una serie de información que por estar en poder de los perjudicados (por ejemplo el E-mail que se recibió, en el caso del phising, los datos de la cuenta bancaria, etc.) o por estar en Internet no plantean problemas de aportación. Si bien esta última cuestión planteó en su día dudas que han ido disipándose. La Sentencia 09/05/2008 del TS señala que “No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada queda registrada siempre y ello lo sabe el usuario. Consecuentemente quien utiliza un programa P2P, en nuestro caso Emule, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en Internet, no se hallaban protegidos por el art. 18.1º ni por el 18.3 CE”. Y aunque proliferan más los supuestos en que se aplica a casos de propiedad intelectual, lo mismo podríamos decir de los delitos relativos al fraude electrónico. Sentado que no se trata de actos de investigación que afectan a derechos fundamentales y como con su habitual claridad explica en su magnífica obra Eloy Velasco su posibilidad “está perfectamente avalada y posibilitada por los artículos 282 y 770.3 de la LECrim y 11.1.g) de la LO 2/1986, de Fuerzas y Cuerpos de Seguridad (“recoger – asegurar y custodiar en todo caso – todos los efectos, instrumentos o pruebas del delito de cuya desaparición hubiera peligro”) así como por los artículos 326.3 LECrim , 14 LO 1/1992, de 21 de febrero, de protección de la Seguridad Ciudadana, y 28 e) RD 769/1987, de 19 de junio, de Policía Judicial, y por numerosa jurisprudencia de la que es paradigmática la STS 27/12/2006 y las que allí cita indicando que se trata de un acto de investigación policial que tampoco precisa la intervención del secretario judicial”. expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 4 de 12 Por lo que respecta a la posibilidad de averiguación del titular de una IP este será el primer paso: averiguar el proveedor titular de dicha IP para posteriormente oficiarle al mismo para que indique quien es el titular de la línea. Este primer paso, la averiguación del proveedor, se puede realizar fácilmente accediendo a información que consta en las bases de datos conocidas como bases de datos “whois”. Existen diversas y con diferente “contenido” de información. 4.- RETENCIÓN DE DATOS DE TRÁFICO. Como hemos adelantado, los problemas se plantean cuando la información (particularmente la IP) no es accesible directamente a través de Internet y hay que solicitarla al proveedor que disponga de la misma, dado que es un dato de tráfico que ellos manejan. La IP es uno, pero no el único de los “datos de tráfico”. Nuestro ordenamiento jurídico regula la retención de los datos de tráfico en dos supuestos diferentes: a.- Los requeridos por la 25/2007 (Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones). b.- Los que permite el art. 65 del RD 424/2005, que desarrolla la Ley General de Telecomunicaciones. La Ley 25/2007 tiene por objeto (Art. 1.1) “la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas… así como el deber de cesión de dichos datos a los agentes facultados siempre que sean requeridos a través de la correspondiente autorización judicial con fines de detención, investigación y enjuiciamiento de delitos graves…” Los datos que dispone la Ley que tiene que ser objeto de conservación (art. 3) son los datos de localización y de tráfico, lo que incluye la dirección IP, pero no sólo ésta. Por lo que respecta al periodo de conservación de los datos (art. 5) se establece un periodo que - como regla general - es de 12 meses. Para acceder a los datos tratados en el marco de la 25/2007, sólo están habilitados los agentes facultados por la propia ley, que son únicamente (art. 6.2): a) Los miembros de las Fuerzas y Cuerpos de Seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. b) Los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal. expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 5 de 12 c) El personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia. Los datos a conservar están tasados y es obligatorio. Por otra parte, el art. 65.5 del RD 424/2005 dispone que (la negrita es nuestra): "5. El tratamiento de los datos de tráfico, de conformidad con los apartados anteriores, sólo podrá realizarse por las personas que actúen bajo la autoridad del operador prestador del servicio o explotador de la red que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas, de la prestación de un servicio con valor añadido o de suministrar la información requerida por los jueces y tribunales, por el Ministerio Fiscal o por los órganos o entidades que pudieran reclamarla en virtud de las competencias atribuidas por la Ley 32/2003, de 3 de noviembre. En todo caso, dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades". La finalidad en este caso es permitir que las empresa de telecomunicaciones almacenen ciertos datos de tráfico a efectos de facturar, y de marketing (en este casi si se dispone del consentimiento de usuario). En este caso los datos a conservar son "los necesarios" y no es obligatorio sino voluntario. Por tanto se trata de tratamientos diferentes, con diferentes normas habilitantes y regulación también diferente. La exposición anterior nos hace ver que existen dos marcos normativos con diferentes finalidades y diferente régimen. Pero en ambos, existe un elemento común: la IP. Ello plantea varios problemas: 1.- El primero de ellos es el relativo a quienes son los sujetos obligados a la retención de los datos de tráfico en la Ley 25/2007. El art. 2 menciona como sujetos obligados tanto a los “destinatarios de las obligaciones relativas a la conservación de datos impuestas en esta Ley los operadores que presten servicio de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, General de Telecomunicaciones” como a los “operadores, en los términos definidos por el apartado 21 del Anexo de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, definidos como "persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado a la Comisión del Mercado de las Telecomunicaciones el inicio de su actividad”. De ello resulta que los obligados son: expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 6 de 12 i. ii. iii. Los proveedores de servicios de Internet Los proveedores de acceso. Los prestadores de servicios de Internet que permitan la utilización de las redes públicas de comunicaciones electrónicas por parte de los usuarios (ej. prestadores del servicio de correo electrónico). Y por tanto no resultan obligados los restantes prestadores de servicios de la sociedad de la información, incluidos los de intermediación, cuya actividad no pueda ser incluida en la propia de los operadores. 2.- Ello nos lleva a la siguiente cuestión. Entonces aquellos que no están obligados: ¿Pueden retener voluntariamente la dirección IP? Si, pero recordemos que la LOPD dispone como regla general (excepto en los casos en que existe una excepción, como por ejemplo una ley habilitante) que se disponga del consentimiento parea el tratamiento de los datos (vid. Art. 6 LOPD). 3.- La siguiente cuestión que se plantea es la siguiente: ¿Quienes pueden acceder a la misma? La regulación sobre la interceptación de las comunicaciones electrónicas establece que es el juez quien debe ordenarlas pero también contempla que las autoridades administrativas competentes puedan solicitar a las operadoras de telefonía determinada información sobre las mismas. La Sala General no jurisdiccional del TS aprobó el 23 de febrero de 2010 el siguiente acuerdo: "Es necesaria la autorización judicial para que los operadores que prestan servicios de comunicaciones electrónicas o de redes públicas de comunicación cedan los datos generados o tratados con tal motivo. Por lo cual, el Mº Fiscal precisará de tal autorización para obtener de los operadores los datos conservados que se especifican en el art. 3 de la Ley 25/2007 de 18 de octubre". El contenido de la misma afloró en la interesante STS 247/2010. Los aspectos más relevantes de la citada Sentencia son los siguientes: 1.- En primer lugar cabe decir que la misma fue dictada sobre unos hechos a los que no era de aplicación la Ley 25/2007, peor que - no obstante - la sentencia realiza referencias “con carácter dialéctico” (según la misma indica) al citado acuerdo de la Sala no jurisdiccional. 2.- Recuerda que la sentencia del Tribunal Constitucional nº 123 de 20 de mayo de 2002, que se hace eco del caso Malone (de fecha 2-8-82 resuelto por el Tribunal de Estrasburgo de Derechos Humanos) – dispone que “la obtención del listado de llamadas hechas por los usuarios mediante el mecanismo técnico utilizado por las compañías telefónicas constituye una injerencia en el derecho fundamental al secreto de las comunicaciones reconocido en el art. 8 del expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 7 de 12 Convenio Europeo, equivalente al 18-3 C.E. En cuanto al concepto de secreto de la comunicación no sólo cubre su contenido, sino otros aspectos de la comunicación, como la identidad subjetiva de los interlocutores. Consecuentemente podemos afirmar que el secreto a las comunicaciones telefónicas garantiza también la confidencialidad de los comunicantes, esto es, alcanzaría no sólo al secreto de la existencia de la comunicación misma y el contenido de lo comunicado, sino a la confidencialidad de las circunstancias o datos externos de la conexión telefónica: su momento, duración y destino…” La Doctrina del caso Malone supone que la protección del derecho al secreto de las comunicaciones alcanza "a cualquier forma de interceptación en el proceso de comunicación, mientras el mismo esté teniendo lugar, siempre que sea apta para desvelar la existencia misma de la comunicación, el contenido de lo comunicado o los datos o elementos externos del proceso de comunicación". 3.- Pero, según el TS “los datos identificativos de un titular o de un terminal deberían ser encuadrados, no dentro del derecho al secreto de las comunicaciones (art. 18-3 C.E) si no en el marco del derecho a la intimidad personal (art. 18.1º C.E)”. Y siguiendo también la opinión del TS, la correcta interpretación de la doctrina del caso Malone debería llevar a la siguiente distinción entre: a) datos personales externos o de tráfico que hacen referencia a una comunicación concreta y contribuyen a desvelar todo o parte del secreto que protege el art. 18-3 C.E. En este caso pueden afectar al secreto de las comunicaciones. b) datos o circunstancias personales referentes a la intimidad de una persona (art. 18-1º C.E.), pero autónomos o desconectados de cualquier comunicación, que caerán dentro del derecho a la protección de datos informáticos o habeas data del art. 18-4 C.E. que no pueden comprometer un proceso de comunicación. Es decir: datos estáticamente almacenados, conservados y tratados por operadores que se hallan obligados a la reserva frente a terceros. Ello lleva al Supremo a entender que la “absoluta equiparación de todo tipo de datos de tráfico o externos o la inclusión de todos ellos dentro del derecho al secreto de las comunicaciones comportaría un auténtico desenfoque del problema, pues incorporaría en el ámbito de la protección constitucional del art. 18-3 , circunstancias cuyo tratamiento jurídico no debería separarse del que se dispensa a la protección de datos o al derecho a la autodeterminación informática del art. 18-4 C.E. (Véase por todas STS. nº 249 de 20-5-2008)”. 4.- Esta distinción abre la puerta a la aplicación (a los supuestos que no afectan al secreto de las comunicaciones) del régimen de la legislación sobre protección de datos. Y el artículo 11.2 de la LOPD contempla diversos supuestos excepcionados de la necesidad de disponer del consentimiento del expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 8 de 12 interesado para su tratamiento. Entre ellos se contemplan (por su interés aquí) los siguientes: “a. Cuando la cesión está autorizada en una ley. […] d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas”. Siguiendo esta senda el Ministerio Fiscal podría estar habilitado para acceder a los datos sin consentimiento pues se le contempla expresamente en el citado artículo (apartado d), amén de que las competencias legales que tiene conferidas en la investigación permitirían un anclaje en el supuesto de la letra a). Respecto de las Fuerzas y Cuerpos de Seguridad vemos que la letra a) al referirse al supuesto de que “la cesión está autorizada en una ley” nos permite acudir al artículo 22.2 de la propia LOPD que dispone: “La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales…” Y según la AEPD será posible siempre y cuando se cumplan los siguientes requisitos, enumerados en informe de 16 de julio de 1999 citado: a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto. d) Que los datos sean cancelados “cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”. Ahora bien: como hemos indicado estas consideraciones sólo son a los efectos dialécticos puesto que, como la propia sentencia delTS reconoce: “este régimen jurídico sólo es aplicable antes de la ley 25/2007 de 18 de octubre; con posterioridad a su vigencia debemos estar al acuerdo del Pleno no jurisdiccional de esta sala de 23 de febrero de 2010- que requiere la autorización judicial”. expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 9 de 12 A partir de aquí podemos realizar dos lecturas: 1.- Una literal del acuerdo del pleno en el sentido de cualquier supuesto requiere de autorización judicial. 2.- Otra, quizá más sistemática (teniendo en cuenta las diferentes normas existentes y también en el sentido de no frustrar con la aprobación de una norma la impunidad de ciertas conductas en la red) que permite distinguir sendas habilitaciones legales, con sus diferencias de ámbito y régimen: la de la Ley 25/2007 y la del art. 65.5 del RD 424/2005. Obviamente cada postura tiene detrás una filosofía: la segunda pretende evitar las posibles impunidades que ésta situación pueda generar; La primera reforzar las garantías de un derecho fundamental, no sé si de forma desmesurada. Quizá sea posible encontrar el equilibrio. No obstante, teniendo en cuenta la situación posterior al citado acuerdo del pleno no jurisdiccional del TS, si se pretende sostener esta segunda opinión en condiciones de seguridad jurídica quizá una posible solución de lege ferenda sea modificar la Ley 25/2007 ampliando a más supuestos. Esta oportunidad se ha perdido pero fue la opinión que sostuvo el informe del consejo fiscal anteproyecto de Ley de Economía Sostenible y anteproyecto de Ley Orgánica complementaria de la misma. Dichas consideraciones, pensadas desde la Ley de Economía Sostenible para supuestos de propiedad intelectual, podrían ser válidas para supuestos de fraude online. La posición que mantenía el informe al respecto era – en síntesis – la siguiente: Dado que en la redacción del apartado 2 del artículo 8 del Anteproyecto se hace referencia a “identificar al responsable del servicio que está realizando la conducta presuntamente vulneradora”, deberá tenerse en cuenta que en algunos supuestos, por la propia mecánica que en la realidad se utiliza para la obtención y prestación de los servicios (ej. registro de titulares de nombres de dominio de páginas Web ficticios o imaginarios), puede resultar necesario que los proveedores de los servicios faciliten más datos que los de la mera identificación de quien formalmente aparece registrado como titular. En esos supuestos en los que pudiera resultar necesario requerir de los prestadores de servicios la facilitación de más datos que los relativos al titular formalmente registrado, debe tenerse en cuenta que ello puede estar en contradicción con lo establecido en la Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas que exige autorización judicial previa para la facilitación de todos los datos que constituyen el objeto de la misma. Efectivamente en el artículo 6.1 de la Ley 25/2007 se establece: “Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial. expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 10 de 12 Es por esto, que en orden a tratar de evitar las posibles contradicciones mencionadas, y poder proporcionar a la Comisión de Propiedad Intelectual cobertura legal, en los casos en que se precise obtener datos de identificación que exceden de los de la titularidad formal registrada, creemos oportuno poner de manifiesto la conveniencia de valorar una modificación de la Ley 25/2007. La redacción de esta Ley ha planteado entre los operadores jurídicos algunos problemas interpretativos relacionados con la inclusión en su artículo 3 de datos de identidad de los usuarios o abonados de los distintos tipos de comunicaciones electrónicas, incluido Internet, cuya facilitación es también sometida a autorización judicial previa conforme a lo previsto en el artículo 6.1 anteriormente mencionado. La modificación que se sugiere se corresponde con la posibilidad de que no sea necesario el requisito de autorización judicial previa exigido por la Ley 25/2007, respecto de los datos relativos estricta y exclusivamente a la identidad de abonados o usuarios de las comunicaciones electrónicas, que no estén amparados por el derecho fundamental al secreto de comunicaciones del artículo 18.3 de la CE, sino por el derecho de intimidad del artículo 18.1 que está sometido al requisito de previsión legal. La previsión legal para la obtención de datos personales que se encuentran amparados por el derecho de intimidad se producirá de acuerdo con la doctrina jurisprudencial al respecto, valorando la proporcionalidad de la medida de intromisión en el derecho de intimidad en relación con los intereses que se quiere proteger y las funciones asignadas a las autoridades a las que se faculta para su obtención. La posible modificación de la Ley 25/2007 que se propone podría materializarse incorporando un nuevo apartado 3 al artículo 6 de la Ley 25/2007, en el que se establezca que no es necesaria la autorización judicial previa para la facilitación de datos de simple identidad de los abonados o usuarios del servicio a las autoridades o entidades que se mencionan en el artículo 11.2 d) la Ley Orgánica 15/1999,de 13 diciembre, de Protección de Datos de Carácter Personal, añadiendo además de los facultados en dicho precepto vigente a la Sección Segunda de la Comisión de Propiedad Intelectual. Conforme al artículo 11.2 d) de la Ley de Protección de Datos no es necesario para ceder los datos personales el consentimiento del interesado: “[…] d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.” Acababa aclarando algo lógico: “En cualquier caso, lo que en ningún supuesto puede recabar la Comisión, ni puede ser proporcionado por los prestadores de expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 11 de 12 servicios de la sociedad de la información son informaciones referidas a comunicaciones privadas que puedan afectar al derecho fundamental al secreto de las comunicaciones, que requieren ineludiblemente autorización judicial expresa en un marco penal”. Y para que este extremo quedase debidamente precisado se estimaba adecuado añadir al final del nuevo apartado 2 del artículo 8 de la Ley 34/2002 lo siguiente: “Los prestadores de servicios estarán obligados a suministrar los datos de que dispongan salvo que afecten a derecho fundamental al secreto de las comunicaciones”. Pero la Ley de Economía Sostenible lejos de haber adoptado esta postura no sólo no ha aceptado las modificaciones indicadas sino que en este último punto y en su Disposición Final Cuadragésima Tercera, que modifica la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (apartado Dos) dispone que: “Se introduce un nuevo apartado segundo del artículo 8 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, con renumeración correlativa de los actuales 2, 3, 4 y 5: "2. Los órganos competentes para la adopción de las medidas a que se refiere el apartado anterior, con el objeto de identificar al responsable del servicio de la sociedad de la información que está realizando la conducta presuntamente vulneradora, podrán requerir a los prestadores de servicios de la sociedad de la información la cesión de los datos que permitan tal identificación a fin de que pueda comparecer en el procedimiento. Tal requerimiento exigirá la previa autorización judicial de acuerdo con lo previsto en el apartado primero del artículo 122 bis de la Ley reguladora de la Jurisdicción contenciosoadministrativa. Una vez obtenida la autorización, los prestadores estarán obligados a facilitar los datos necesarios para llevar a cabo la identificación." expansión@gesdatos.com http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia. Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Página 12 de 12