Recientemente, el Alto Tribunal Europeo invalidó la Directiva 2006-24-ce, relativa al procedimiento de  Conservación de Datos, por parte de los miembros de la Unión Europea. Esta directiva nació como consecuencia de los atentados del 11-M de madrid y del 7-J de Londres, respectivamente. Con la creación de esta directiva, se pretendía establecer un mecanismo por el que se obligara a las operadoras de Telecomunicaciones a almacenar los datos generados por aquellos clientes a los que prestaban sus servicios, -almacenamiento que podría llegar a dos años-, al tiempo que garantizaba la confidencialidad y el uso que de esos datos se podía hacer. Igualmente se establecían los casos en los que se podrían solicitar dichos datos personales, y quiénes podrían solicitarlos.

Fruto de esa directiva, cada país de la Unión Europea creó su propia Ley. En España, se desarrolló la Ley 25/2007, modificada recientemente, el 10 de mayo de 2014. Esta ley viene a ordenar todo lo referente a «..la conservación de datos relativos las comunicaciones electrónicas y a las redes públicas de comunicaciones..».

 Muchas son las voces que se han alzado a favor de una remodelación de esta Ley, entre las que se incluyen Fiscales, Jueces y letrados. Sin embargo, uno de sus puntos más controvertidos -el artículo 1.1-, no ha sido modificado. Este artículo fundamental (por tratarse del objeto de la Ley), establece quién puede pedir los datos a las operadoras y en qué ámbito pueden pedirse:

Artículo 1. Objeto de la Ley.
1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

Por tanto, esta Ley deja claro que sólo se podrán pedir estos datos (mediante mandamiento judicial), para aquellos casos en que se enjuicien «delitos graves». ¿Y qué es un delito grave?.

Si nos atenemos al Código Penal Español, en su artículo 13 se define el delito grave como «…las infracciones que la Ley castiga con pena grave..». Veamos ahora qué se entiende por pena grave.

Volviendo a nuestro Código Penal, en su artículo 32 se dice -entre otros supuestos-, que las penas graves «…son aquellas que llevan prisión superior a cinco años…».

Por tanto, y en base a lo expresado anteriormente, podríamos deducir que este supuesto afectado por la ley 25/2007 -la posibilidad de petición de los datos almacenados por las operadoras-, sólo se podría utilizar en el caso de que se esté enjuiciando penalmente un delito superior a cinco años. Hasta aquí todo correcto, si no fuera porque muy pocos delitos informáticos están tipificados con penas superiores a cinco años.

Estamos, sin embargo, asistiendo a un uso indiscriminado de esta Ley, más allá del ámbito para el que fue diseñada. Actualmente, se están haciendo peticiones de estos datos a los ISP’s, para todo tipo de delitos, algo que, si nos atenemos a su objeto, está produciendo un posible abuso sobre el respeto a la vida privada y la protección de los datos personales, pues se está pidiendo la pertenencia de las direcciones IP, para casi todo. Y este es uno de los motivos por los que la Unión Europea decidió derogar su directiva.

Como planteábamos en un principio, la directiva 2006/24/CE -matriz de nuestra Ley 25/2007-, fue invalidada por el Alto tribunal Europeo, como consecuencia de los Asuntos CE-293/12, planteado por la Alta Corte Irlandesa y el C-594/12, presentado por el difícilmente pronunciable «Verfassunsgerichtshof» Austriaco. En estos asuntos se alegaba una posible colisión con el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea. Tras el estudio, el Alto Tribunal dictó las Conclusiones y, posteriormente, la Sentencia, de 8-abril-2014, sobre esa directiva 2006-24-CE.

Finalmente, y tras el fallo del Alto Tribunal Europeo, que daba la razón a Austriacos e Irlandeses, Eslovaquia decidió derogar igualmente su Ley de Protección de Datos, en contra del resto de socios europeos, que aún no han modificado sus artículos o, como en el caso de España, han pasado de puntillas sobre la suya, modificando algunos aspectos puntuales, que no han contemplado la modificación del artículo 1.1.

Por tanto, cabe preguntarse si, a tenor de esta Ley específica, no será posible impugnar la gran mayoría de averiguaciones policiales relativas a la pertenencia de las Ip, desde las que supuestamente se cometió la infracción penal, aduciendo la ilegalidad de su obtención. Igualmente, y a sabiendas de lo anterior, ¿puede un Juez pedir a los ISP estos datos de carácter personal, sin incurrir en un ilícito, cuando el delito no está tipificado como grave?.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Vp. Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected]