Diciembre de 2002

© Javier Hernández Martínez. Abogado especialista en Derecho de Internet y de las Nuevas Tecnologías
E-mail : bufete@opinionvirtual.com
Web : www.opinionvirtual.com

LSSI : El deber de retención de datos.

En este artículo vamos a comentar un aspecto recogido en la llamada LSSI, o popularmente denominada en España como Ley de Comercio Electrónico, pero que en realidad se llama Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico ( Ley 34/2002, de 11 de julio ). El aspecto en cuestión es el recogido en su artículo 12, titulado Deber de retención de datos de tráfico relativos a las comunicaciones electrónicas.

¿ A quién o quiénes se aplica tal obligación ?

La norma mencionada nos indica que estarán sujetos a dicha obligación :

- los operadores de redes y servicios de comunicaciones electrónicas
- los proveedores de acceso
- y los prestadores de servicio de alojamiento de datos

¿ Qué datos habrán de retener ?

Estos serán los de conexión y tráfico, que se hayan generado u originado en el transcurso de las comunicaciones establecidas mientras se presta un servicio de la sociedad de la información, siendo el período máximo de dicho almacenaje o retención el de 12 meses, y efectuándose el mismo bajo los términos y condiciones establecidos en esta Ley así como en la normativa futura que la desarrolle. Hemos de comentar que dicha normativa de desarrollo aún no existe, ante lo cual no es aún exigible esta obligación, pero que sin duda lo será en un futuro, siendo por ello que no está de más llevar a cabo una aproximación a cómo será ello, aunque sólo lo sea de una forma aproximada, al desconocerse aún el contenido concreto de dicha norma futura.

Concretando aún más, nos dice el precepto que si se trata de Operadores de redes y servicios de comunicaciones electrónicas o de proveedores de acceso a redes de telecomunicaciones, los datos a conservar serán exclusivamente aquellos necesarios en orden a la localización del equipo terminal empleado por el usuario para la transmisión de la información. Imaginamos que en cuanto esto se aplique, uno de dichos datos será el referente al nº IP del ordenador que remotamente usa dichos servicios.

Por otro lado, si el prestador del servicio, y obligado también a la retención de datos expresada, fuese de los que se dedica al alojamiento de datos ( un ejemplo claro lo constituyen las empresas de hosting ), la obligación de retención sólo alcanzará a la de aquellos datos que fuesen imprescindibles para identificar el origen de los datos alojados y el instante en el que se inició la prestación del servicio.

¿ Qué límites tendrá dicha retención ?

Uno, obligado por otro lado, es el de respetar el secreto de las telecomunicaciones. Otro, es el de no utilizar los mismos para finalidades diferentes de las recogidas en este artículo o de otras permitidas por la Ley, exigiendo además que siempre se adopten las medidas de seguridad que pertinente fuesen con el fin impedir la pérdida, alteración o el acceso no autorizado a dichos datos. Es claro también por lo dicho que el reglamento que desarrolle esta parte de la Ley habrá, si pretende no generar un marco de inseguridad jurídica, que indicar en qué consistirán dichas medidas de seguridad, y ello por lo siguiente : La LOPD ( Ley Orgánica de Protección de Datos ) exige la aplicación de determinadas medidas de seguridad, más complejas y más estrictas según sea el nivel de sensibilidad de los datos, pero ocurre que si el prestador del servicio, en principio, y por respeto al secreto de las telecomunicaciones, lo habitual será que desconozca el contenido de dichos datos, y siendo ello así se planteará entonces la siguiente duda : si no sé cuál es el contenido de los mismos, y en consecuencia, de qué tipo son, ¿ qué nivel de seguridad habrá de aplicarse, de los establecidos en la LOPD ?, ¿ el básico, el medio, o el máximo ?, pues dependiendo de ello, la sanción puede ser de hasta 100 millones de pesetas, ante lo cual es evidente que no estamos ante una cuestión baladí.

¿ Con qué finalidad se conservarán los datos ?

El fin de su conservación o retención no es otro que el de poder, en su caso, ser utilizados en el marco de una eventual investigación criminal, o para la salvaguardia de la seguridad pública y la defensa nacional. Como vemos, son, sobre todo los dos últimos elementos, conceptos bastante vagos y en extremo genéricos, lo cual le imprime cierta subjetividad, por lo que esperamos que las autoridades competentes no hagan una interpretación que vaya en contra de determinados derechos so excusa de defender determinados intereses.

Los datos de los que hablamos, y si se dan las circunstancias expresadas, se tendrán que poner a disposición de los Jueces o Tribunales, o incluso del Ministerio Fiscal, bastando para ella su mera petición por parte de dichos órganos. En el supuesto de que la comunicación se destine a las Fuerzas y Cuerpos de Seguridad del Estado, habrá de tenerse en cuenta, y por tanto aplicarse, la normativa sobre protección de datos de carácter personal, representada hoy por hoy, en su aspecto troncal máximo – después de la Constitución, claro está -, por la LOPD.

¿ Qué falta todavía en la Ley ?

Como dijimos antes, no está aún en vigor esta obligación de retención, y ello por cuanto falta aún en esta Ley su reglamento de desarrollo, el cual, entre otras cosas, habrá que indicar qué categorías de datos habrá de conservarse, distinguiendo y matizando según sea el servicio que se preste. También habrá de expresarse el tiempo máximo de su retención, limitado por la LSSI a un año; habrá igualmente de regular las condiciones y el modo de su almacenaje, tratamiento y custodia, así como también el modo y manera en que se deberán entregar dichos datos a los órganos autorizados para su solicitud. Una vez transcurrido el plazo que en un futuro se regule, habrán de destruirse los mismos, salvo que fuese necesaria su conservación para algún fin previsto por la Ley.

¿ Qué no se menciona en esta Ley ?

Aunque pueda parecer un título un poco raro para este ítem o epígrafe, se observará con la explicación pertinente que no lo es tanto, pues sin saberse por qué, parece que casi todo el mundo ha olvidado lo que recoge el artículo 52 de la Ley General de Telecomunicaciones, el cual existe ya desde abril de 1998, y que en síntesis establece la obligación ( pendiente también – afortunadamente – de desarrollo reglamentario ) que cuando se usen mecanismos de cifrado para proteger la confidencialidad de la información, se notifique al Estado el algoritmo utilizado para ello o el procedimiento de encriptación utilizado, recayendo dicha obligación sobre los fabricantes que incorporen dichos mecanismos en sus equipos o aparatos, a los operadores que los usen en sus redes, y en su caso a los usuarios que los empleen. Todo ello quiere decir, ni más ni menos, que si se diese desarrollo reglamentario a este artículo, el Estado conocería – sin necesidad de razonamiento ni motivación alguna - en todo momento las claves utilizadas para enviar mensajes de forma cifrada, y ello por cuanto conocería los algoritmos o fórmulas usados para ello, o en su caso los procedimientos implicados en ello.