El Derecho de Protección de Datos en la Ley 34/2002, de Internet
El Derecho de Protección de Datos en la Ley 34/2002, de Internet
1. LA REMISIÓN GENERAL DE LA LEY 34/2002 A LA NORMATIVA SOBRE PROTECCIÓN DE DATOS
La voluntad del legislador es salvaguardar el derecho a la protección de datos de carácter personal en Internet, por lo que la remisión a su normativa alcanza no solo al entramado de relaciones jurídicas que nacen de las comunicaciones electrónicas o de los contratos celebrados por medios electrónicos o de los propios servicios de intermediación en Internet, sino también a las actuaciones o procedimientos de la administración de carácter sancionador o de simple tutela administrativa que la Ley 34/2002 regula.
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico establece en su artículo primero, dedicado al objeto de la ley, que «las disposiciones contenidas en esta ley se entenderán sin perjuicio de lo dispuesto en otras normas estatales o autonómicas …o que tengan como finalidad … la protección de datos personales´´
Este precepto de la Ley 34/2002 realiza una remisión externa expresa a nuestra legislación sobre Protección de Datos, entendiendo dicha legislación en el plano normativo comunitario, estatal y autonómico e integrando la nueva norma en nuestro sistema jurídico, con el objetivo de reconocer y respetar el derecho fundamental de la protección de datos, definido por la Sentencia del Tribunal Constitucional 290/2000 y anclado en el artículo 18 de nuestra Constitución.
En realidad, ya no cabía duda sobre la aplicación de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal a los negocios jurídicos por vía electrónica y a la comunicación y transmisión de información a través de redes de telecomunicaciones. Ello se desprende claramente del ámbito de aplicación de la Ley 15/1999, de las definiciones de datos y tratamiento de datos de su artículo 3, de lo dispuesto en el propio Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal, aprobado por el Real Decreto 994/1999de 11 de junio y del desarrollo de la Ley 15/1999 por parte de la Agencia de Protección de Datos en sus Recomendaciones sobre Internet y el Comercio Electrónico.
2. LA OBLIGACIÓN DE INFORMACIÓN DEL ARTÍCULO 10 DE LA LEY 34/2002
El artículo 10 de la Ley 34/2002 obliga a los prestadores de servicios de la sociedad de la información a disponer de los medios que permitan a los detinatarios del servicio y a los organos competentes, acceder por medios electrónicos a cierta información, que en el caso de personas físicas, constituye una información referida a la identidad de la persona y, por tanto, dato de carácter personal.
En consecuencia, este tipo de datos de carácter personal de personas físicas, prestadores de servicios de la sociedad de la información, quedarán al alcance de usuarios y consumidores.
Sin embargo, estos datos no podrán utilizarse con otra finalidad distinta que la que se deduce de la obligación de información de la LSSICE, no pudiéndose considerar fuente de acceso público en los términos del artículo 3.j de la LOPD.
3. REFERENCIAS ESPECÍFICAS A LA PROTECCIÓN DE DATOS PERSONALES EN LA LEY 34/2002
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico realiza otras remisiones a la Protección de Datos, referidas a actuaciones sancionadoras de la administración o a obligaciones de proveedores de servicios o de operadores de redes en relación a las actuaciones sancionadoras mencionadas.
3.1 Artículo 8. Restricción a la prestación de servicios
En el artículo 8 de la Ley 34/2002, relativo a las medidas de restricción a la prestación de servicios, para el caso de que un servicio de la sociedad de la información atente contra principios legalmente establecidos en el apartado 1 de este mismo artículo, se prevé que en la adopción y cumplimiento de dichas medidas «se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos …. a la protección de los datos personales´´.
Las medidas restrictivas, según el artículo 8 de la ley, consisten en interrumpir la prestación del servicio o en retirar los datos que vulneran los principios establecidos en este mismo artículo y podrán ser adoptadas por los órganos competentes de la protección de estos principios, sin perjuicio de las competencias judiciales en cada materia.
Sin embargo, no se desprende, en principio, del texto del precepto, que la aplicación de la legislación sobre protección de datos tenga un encaje esencial o específico en los procedimientos administrativos aplicables a la protección de los derechos establecidos en el artículo 8 de la Ley 34/2002, ya que la actuación sancionadora de la administración se dirigirá contra un proveedor de servicios de quién se conocen datos, bien mediante denuncia, bien por la investigación impulsada por el propio órgano competente de la administración. Otra cuestión será, si la administración, en la tramitación de los expedientes sancionadores requiriera datos sobre usuarios de los servicios. En estos casos el órgano actuante deberá cumplir con la normativa sobre protección de datos y respetar el resto de derechos en juego, en el marco del procedimiento administrativo correspondiente y de sus potestades de inspección.
3.2 Artículo 11. Deber de colaboración de los prestadores de servicios de intermediación
El artículo 11 de la Ley 34/2002 dispone que «en la adopción y cumplimiento de las medidas (restrictivas)´´, establecidas en el citado artículo 8, «se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos … a la protección de los datos personales´´
De acuerdo con este precepto, en el caso de que la adopción de medidas de interrupción del servicio o de retirada de contenidos que atenten contra los principios establecidos en el artículo 8, precise la colaboración de los prestadores de servicios de intermediación, podrán ser obligados por la administración a «que suspendan la trasmisión, el alojamiento de datos, el acceso a las redes de telecomunicaciones o la prestación de cualquier otro servicio equivalente de intermediación que realicen´´
Este precepto regula la intervención del prestador de servicios como tercero obligado, aunque el texto legal habla de colaboración, en el expediente sancionador de aplicación de medidas restrictivas e interrupción de la prestación de un servicio.
Desde el punto de vista de la protección de datos el comentario es el mismo que el relativo a la referencia a este derecho en el artículo 8 de la Ley 34/2002. La tramitación del expediente deberá respetar éste y otros derechos en juego, tanto por lo que se refiere al sujeto que haya cometido el ilícito administrativo como al proveedor de servicios colaborador.
3.3 Artículo 12. Deber de retención de datos de tráfico relativos a las comunicaciones electrónicas
Este precepto establece la retención de datos de conexión y tráfico generados por la prestación de un servicio de la sociedad de la información durante un periodo máximo de 12 meses. Los obligados por este precepto son:
a) Los operadores de redes y servicios de comunicaciones electrónicas y los proveedores de acceso a redes de telecomunicaciones, que deberán conservar los datos relativos a la localización del equipo terminal empleado por el usuario.
b) Los prestadores de servicios de alojamiento de datos, que deberán conservar los datos relativos al origen de los datos y al momento en que se inició la prestación del servicio.
Los destinatarios finales de estos datos, según el apartado 3 del artículo 12, son los jueces, tribunales o el Ministerio Fiscal si los requieren en el marco de una investigación criminal o para la salvaguarda de la seguridad pública y la defensa nacional, así como las Fuerzas y Cuerpos de Seguridad.
a) Aplicación de la normativa sobre el secreto de las comunicaciones
El artículo 12 prevé en general el mantenimiento del secreto de las comunicaciones durante el procedimiento de retención de datos. Hay que tener en cuenta que la aplicación de este precepto supondrá la necesidad de un mandamiento judicial para la comunicación de los datos retenidos a las Fuerzas y Cuerpos de Seguridad, aunque permitiría su comunicación a los Jueces y Tribunales y a requerimiento del Ministerio Fiscal, de acuerdo con el artículo 18 de la Constitución española que garantiza el secreto de las comunicaciones.
b) Garantías sobre Protección de Datos
El artículo 12 prevé, además de la referencia al mantenimiento del secreto de las comunicaciones, algunas garantías en relación a la Protección de Datos:
1. Finalidad del dato: el precepto prohíbe que los prestadores de servicios y los operadores de redes y servicios de comunicaciones electrónicas utilicen los datos retenidos para otros fines distintos del marco de investigaciones criminales, y de la salvaguardia de la seguridad pública y defensa nacional
2. Comunicación de datos a las Fuerzas y Cuerpos de Seguridad: se hará respetando la normativa de datos personales y debemos añadir, como se ha hecho mención en el apartado anterior, respetando el secreto de las comunicaciones, es decir, por medio de mandamiento judicial.
3. Seguridad de los datos: se deberán adoptar las medidas de seguridad requeridas. Aquí se podría apuntar la posibilidad de que las medidas de seguridad necesarias para los ficheros con datos retenidos sean de nivel medio, en la medida que el conjunto de datos de carácter personal que puedan contener estos ficheros sean suficientes para permitir una evaluación de la personalidad de los usuarios del tráfico.
4. Clase de los datos con obligación de retener, el texto del artículo incluye dos especificaciones:
– Los datos con obligación de retener serán únicamente necesarios para la localización del equipo terminal empleado por el usuario para la transmisión de la información, o aquellos relativos a su origen y al momento en que se inició la prestación del servicio.
– Las categorías de datos que deberán conservarse se determinarán reglamentariamente, no pudiéndose entender esta frase de otro modo que el desarrollo reglamentario no podrá ir más allá de precisar o concretar el tipo de datos que se deberán conservar por parte de los obligados a ello en el marco de lo que establece este mismo artículo 12: los datos necesarios para la localización del equipo terminal o los necesarios para conocer el origen de los datos y el momento en que se inició la prestación del servicio.
En cuanto a la duración del periodo de retención de los datos, el Ministerio de Ciencia y Tecnología ya ha avanzado que el Reglamento no agotará el plazo de la ley.
c) Los datos retenidos como datos de carácter personal.
El primer interrogante que nos plantea el texto del artículo 12 es si los datos que se deben retener y conservar son datos de carácter personal, aunque su regulación parece que así lo prevé.
En caso que, efectivamente, se tratara de datos de carácter personal, la aplicación de este precepto supone la creación de un fichero automatizado con datos de carácter personal a fin de tratar estos datos, de los que serían titulares usuarios de Internet o consumidores por vía electrónica, por parte de los operadores de redes y servicios de comunicaciones electrónicas, de los proveedores de acceso a redes de telecomunicaciones y de los prestadores de servicios de alojamiento de datos, sin consentimiento del interesado.
d) La dirección IP (Internet Protocol) como dato de carácter personal
El dato principal que los intermediarios de la sociedad de la información tienen posibilidad de retener es la dirección IP (Internet Protocol). La dirección IP consiste en una direccion fisica, con un número único e irrepetible de identificación asignado a cada Ordenador Personal dentro de Internet.
Será preciso, por tanto, determinar en primer lugar si la dirección IP, es o puede ser un dato de carácter personal, de acuerdo con la definición del artículo 3. Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de Carácter Personal: «cualquier información concerniente a personas físicas identificadas o identificables»
En todo caso, la cuestión esencial no consiste tanto en determinar si la dirección IP es un dato de carácter personal sino que se trata de definir si el objetivo de la retención de datos persigue y haría posible una potencial identificación de la persona, por ejemplo, por medio de relacionar la dirección IP de un PC con el correo electrónico del usuario, supuesto que encajaría en la definición de dato de carácter personal del artículo 3 de la Ley O. 15/1999. Otra cuestión será si los destinatarios de estos datos, Jueces, Tribunales, Ministerio Fiscal y Fuerzas y Cuerpos de Seguridad pudieran disponer previamente de datos identificativos de los individuos que podrán asociarse a los datos que contengan los ficheros de retención de datos.
e) Las Cookies como dato de carácter personal
Las cookies actúan como bloques de datos que algunos sitios web envían a nuestra Ordenador Personal cuando accedemos a ellos. En cada ocasión que entremos a ese sitio Web, nuestro PC reenviará esa cookie al sitio web. Una cookie podría llegar a contener datos como passwords, logins o datos de identificación o datos para una compra.
Aunque las cookies no pueden conceptuarse en principio como un dato de carácter personal, no es imposible que pueden constituir un elemento o un medio para la obtención de datos de carácter personal que identifiquen o puedan identificar al individuo en sus conexiones en Internet. Sería el caso de contenidos de cookies de un web que asocian los datos con el usuario.
« La obligación de retención de datos en el marco de la Ley Orgánica 15/1999
¿Que encaje tiene el supuesto de la obligación de retención de datos sin el consentimiento del titular del artículo 12 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal ?
Los preceptos aplicables de la Ley Orgánica 15/1999 al supuesto del artículo 12 son los artículos 6 y 11 en cuanto prevén excepciones al consentimiento sobre la recogida, tratamiento y cessión de datos. Por una parte, el artículo 6.1 de la Ley 15/1999 establece efectivamente que «El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa» y por otra parte, el artículo 11.2.a) permite la cesión sin consentimiento del titular cuando esté autorizada por ley y el artículo 11.2.c) establece su cesión a Jueces, tribunales y Ministerio Fiscal.
El artículo 12 de la Ley 34/2002 recoge, no solo la obligación de recogida y tratamiento de datos de usuarios y consumidores de servicios de la sociedad de la información, sino que también establece la clase de datos y su finalidad, y también los supuestos específicos de comunicación de estos datos.
En este sentido, ¿Se entiende también que el Responsable del fichero deberá respetar y aplicar los derechos de información, acceso, rectificación y cancelación ?
No parece que sea posible aceptar que, aún existiendo un previsión legal de recogida y tratamiento de datos sin consentimiento del interesado así como de comunicación de estos datos en supuestos específicos igualmente sin consentimiento, decaigan los derechos de información, acceso y rectificación. Aunque bien es cierto que el derecho de rectificación estaría condicionado por la finalidad legal del fichero que recoja los datos retenidos, y en cuanto al derecho de cancelación, deberá atenderse al plazo máximo legal o al plazo reglamentario que se establezca de conservación de estos datos.
« Consecuencias legales de la obligación de retención de datos
En la medida que los datos retenidos puedan ser datos de carácter personal, la obligación de retención de datos conllevará un conjunto de consecuencias legales en el ámbito de la Ley Orgánica 15/1999 que afectarán a los operadores de redes y servicios de comunicaciones electrónicas, a los proveedores de acceso a redes de telecomunicaciones y a los prestadores de servicios de alojamiento de datos :
a) Creación de ficheros con los datos de tráfico y conexión de los usuarios.
b) Inscripción de los ficheros en el Registro General de Protección de Datos.
c) Aplicación de los derechos de información, acceso, rectificación y cancelación.
d) Cumplimiento de los principios generales de protección de datos.
En definitiva, por disposición legal, los prestadores de servicios de intermediación de la sociedad de la información, sin dejar de ser cuando ello ocurra, encargados del tratamiento por el hecho de tratar datos de carácter personal por cuenta de terceros por la prestación de servicios de hosting y housing, pasarán a ser responsables de estos ficheros de datos retenidos.
4. LA PROTECCIÓN DE DATOS PERSONALES EN LAS COMUNICACIONES ELECTRÓNICAS
4.1 Regulación y aplicación de la Ley 34/2002 en materia de protección de datos
El artículo 21 de la Ley 34/2002, establece una prohibición en relación a las comunicaciones comerciales no solicitadas que se realicen a través de correo electrónico o por medios de comunicación electrónica equivalentes:
a) Norma general
Como norma general, el precepto prohibe el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente
b) Excepciones
Permite el envío de comunicaciones publicitarias o promocionales en dos supuestos:
– Que hayan sido previamente solicitadas
– Que hayan sido autorizadas expresamente por los destinatarios de las comunicaciones
4.2 Aplicación de la Ley 15/1999 a las comunicaciones electrónicas
El artículo 19 y siguientes de la Ley 34/2002, regulan el régimen jurídico de las comunicaciones comerciales por vía electrónica, estableciendo el citado artículo 19, con carácter general, que les «será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo´´
A continuación, el mencionado artículo especifica que se aplicará especialmente la Ley 15/1999, a:
– La obtención de datos personales en las comunicaciones electrónicas
– La información a los interesados, titulares de los datos que reciban comunicaciones comerciales
– La creación y mantenimiento de ficheros de datos personales
Se habrá de entender, asimismo, que el resto de preceptos de la Ley Orgánica 15/1999, serán también de aplicación a las comunicaciones electrónicas, siempre que éstas se refieran o contengan datos de carácter personal.
4.3 El correo electrónico como dato de carácter personal: el doble régimen jurídico del artículo 19.
Los artículos 21 y 22 de la Ley 34/2002, no determinan si se refieren al correo electrónico, el medio más usual para el envío de comunicaciones electrónicas, cuando es un dato de carácter personal o cuando no lo es. Por tanto, la prohibición del artículo 21 la deberemos entender referida específicamente a las comunicaciones comerciales electrÚnicas no solicitadas mediante correo electrónico, sea o no el correo un dato de carácter personal.
En todo caso, en términos generales, el correo electrónico será un dato de carácter personal, siempre que encaje en la definición de datos de carácter personal del artículo 3 de la Ley de Protección de Datos; es decir, que sea una información concerniente a personas físicas identificadas o identificables. A este respecto, debemos entender que el correo electrónico no será un dato de carácter personal:
– Cuando a través de la información que muestre no se identifique a la persona física o no sea posible identificarla
– Cuando se refiera o dé información de un persona jurídica, es decir en este caso cuando se trate de un correo electrónico corporativo.
Del análisis de estos preceptos, se podría llegar a la conclusión que a las comunicaciones electrónicas les es de aplicación un doble régimen legal:
a) Comunicaciones electrónicas a través de correos electrónicos cuando éstos no constituyan un dato de carácter personal
En estos supuestos, se aplicaría el régimen jurídico y si fuera el caso el régimen sancionador de la Ley 34/2002.
b) Comunicaciones electrónicas a través de correos electrónicos cuando éstos constituyan un dato de carácter personal
En estos supuestos:
– Se aplicaría el régimen jurídico y si fuera el caso el régimen sancionador de la Ley 34/2002 en relación a la prohibición del artículo 21 y sus consecuencias
– Se aplicaría el régimen jurídico y si fuera el caso el régimen sancionad
...