Estamos en: 

1. Artículos y Textos Legales >
2. Artículos >
3. La protección comunitaria de los datos personales en el sector de las comunicaciones electrónicas

La Directiva 2002/58 [1] viene a colmar en el ámbito de las comunicaciones electrónicas las previsiones establecidas en la Directiva 95/46 [2], dado que la introducción de nuevas tecnologías digitales hace surgir nuevas necesidades en materia de protección de datos personales. Pero, ¿cuáles son las previsiones que la normativa comunitaria establece a este respecto?

A tal efecto, procederemos a desglosar sus principales aportaciones.

Su objetivo (art. 1) viene delimitado por la armonización de las disposiciones de los Estados Miembros, con un doble objetivo: a) la protección equivalente de los datos personales afectados por los servicios de comunicaciones electrónicas; y b) la libre circulación de los datos y de los equipos y sistemas que los tratan y transmiten.

Especialmente relevante es la ampliación del ámbito de protección de las personas jurídicas, y de sus intereses legítimos, cuando ostenten la condición de abonados a los servicios de comunicación electrónica.

Su ámbito de aplicación lo delimitan las actividades comunitarias. Se excluyen las actividades específicas previstas en su articulado (seguridad pública, la defensa, la seguridad del Estado y las actividades de los Estados en materia penal) ya que se consideran preferentes sobre la actividad garantista prevista por la Directiva.

Al igual que la Directiva 95/46, establece en su art. 2 un amplio elenco de definiciones, que vienen a colmar las peculiaridades de esta nueva regulación [3]. Especialmente interesante es la consideración del usuario (apartado a), a quien se desglosa de la consideración de abonado a un servicio, para otorgarle una mejor protección. Bastará, por tanto, la mera utilización por una persona física de un servicio de comunicaciones electrónicas para que se desplieguen las garantías previstas en la Directiva, con independencia de que esté o no abonado al servicio.

Su art. 3 especifica cuales son los servicios afectados, entendiéndose por tales los tratamientos de datos personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Comunidad. Se exceptúan, por tanto, los tratamientos efectuados a través de redes no accesibles al público (redes privadas y redes públicas policiales o de espionaje), sin perjuicio de las garantías establecidas por la Directiva 95/46, o los que siendo accesibles se presten desde fuera del ámbito territorial de la Unión Europea.

Como no podía ser de otra manera, la Directiva, establece un marco muy riguroso de obligaciones a los proveedores de servicios en materia de seguridad. A este respecto, el art. 4 establece la obligación para los proveedores de servicios de adoptar las medidas adecuadas para salvaguardar la seguridad de sus servidores e informar a los abonados de todo riesgo específico relativo a la seguridad de la red, incluyendo los mecanismos que pueden utilizar para proteger la seguridad de sus comunicaciones como las claves o el cifrado.

Pero la información a los abonados, no exime al proveedor de adoptar, bajo su coste, las medidas inmediatas y adecuadas para solucionar cualesquiera riesgos nuevos e imprevistos de seguridad y restablecer la normal seguridad del servicio [4].

Junto a la seguridad, la confidencialidad constituye el otro pilar inexcusable para un correcto tratamiento de los datos personales. De acuerdo al art. 5 deben adaptarse todas las medidas necesarias para evitar el acceso no autorizado a las comunicaciones, incluidos tanto sus contenidos, como cualquier dato relacionado con ellas. Así, en particular, se prohibirá la escucha, la grabación, el almacenamiento u otro tipo de intervención o vigilancia por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados.

No obstante esta previsión genérica, se contemplan tres excepciones, sometidas al cumplimiento de concretas particularidades:

1. Se permite el almacenamiento automático, transitorio e intermedio de información en la medida en que sea necesario para efectuar la transmisión, y siempre que sea durante el tiempo estrictamente indispensable para la realización de aquélla y la gestión del tráfico. En todo caso debe garantizarse la confidencialidad.
2. Las comunicaciones podrán grabarse para aportar pruebas de una transacción comercial, siempre y cuando sea necesario y esté legalmente autorizado. Los interlocutores deberán ser informados, con anterioridad, de dicho almacenamiento, de su objeto y de su almacenamiento.
3. Cookies. Cuando tengan un propósito legítimo, como el suministro de servicios de la sociedad de la información, se autoriza su utilización a condición de que se informe al usuario, de forma clara y completa, sobre los fines del tratamiento de los datos, y de que se le otorgue la posibilidad de impedir que se almacene en su equipo la cookie.

En lo tocante a los datos de tráfico (cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma), el art. 6 establece, como criterio general, la obligación de eliminación o su conversión en anónimos cuando ya no sean necesarios para los efectos de la transmisión.

No obstante, dos excepciones son previstas:

1. Tratamiento de datos de tráfico a efectos de facturación de los abonados y pago de interconexión. Sólo podrán tratarse durante el tiempo imprescindible para el exigir el pago o impugnar el montante de la factura. Por su parte, el proveedor de servicio deberá informar al abonado o usuario de los datos que van a ser objeto de tratamiento y de la duración del mismo.
2. Tratamiento de datos de tráfico a efectos de promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios de valor añadido (todo servicio que requiere el tratamiento de datos de tráfico o datos de localización distintos de los del tráfico que vayan más allá de lo necesario para la transmisión de una comunicación o su facturación). El abonado o usuario debe haber prestado su consentimiento fundando en una información plena y exacta facilitada por el proveedor de servicios respecto del tipo de tratamiento que pretende hacerse y sobre el derecho del abonado a denegar o retirar su consentimiento a dicho tratamiento. Dicha información, que será siempre previa al tratamiento, especificará los datos que pretenden tratarse y la duración del mismo.

El art. 7 recoge el derecho que asiste a los abonados a no recibir facturas desglosadas. A tal efecto se prevé que los Estados miembros fomenten la implantación de sistemas alternativos de pago, que garanticen el anonimato, así como que se ofrezcan a los abonados otra modalidad de factura detallada (omitiendo, por ejemplo, cierto número de cifras del teléfono al que se ha llamado).

Por lo que respecta a la identificación de la línea de origen, es necesario proteger el derecho del interlocutor que realiza una llamada a ocultar la identificación de la línea, así como el derecho del que recibe la llamada a rechazarla dado que no se puede identificar. Para conciliar ambos intereses se establece, en el art. 8, la siguiente regulación:

• El proveedor de servicio ofrecerá al que realiza la llamada, mediante un procedimiento sencillo y gratuito, la posibilidad de impedir en cada llamada la identificación de la línea de origen.
• El proveedor de servicio ofrecerá al que recibe la llamada, mediante un procedimiento sencillo y gratuito, la posibilidad de impedir en cada llamada la identificación de la línea de origen en las llamadas entrantes.
• Cuando sea posible visualizar la identificación de la línea entrante antes de que se inicie la llamada, deberá ofrecerse al abonado que recibe la llamada la posibilidad de rechazar las llamadas entrantes no identificadas.
• Cuando sea posible visualizar la identificación de la línea conectada, deberá ofrecerse al abonado que reciba la llamada la posibilidad de impedir que se conozca la identificación de su línea por parte de quien le llama.

Estas posibilidades de anonimato pueden verse, sin embargo aminoradas, por lo que se refiere a la identificación de la línea de origen cuando, conforme a lo preceptuado en el art. 10, sea necesario para la persecución de llamadas malevolentes (previa solicitud del abonado) o cuando sea necesario para que los servicios de socorro cumplan su cometido con la celeridad y eficacia inherente a sus funciones.

Junto a los datos de tráfico se regulan igualmente los datos de localización (cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponibles al público). El art. 9 establece que el tratamiento de datos de localización, distintos de los de tráfico, sólo podrá realizarse en dos supuestos:

• cuando los datos se hagan anónimos.
• cuando el usuario y abonado ha otorgado previamente su consentimiento. Para ello el proveedor de servicios deberá informar sobre el tipo de datos, la finalidad, duración del tratamiento, y de si se transferirán los datos a terceros a los efectos de prestación de servicios de valor añadido. El consentimiento será revocable en cualquier momento, mediante un procedimiento sencillo y gratuito.

La Directiva contempla igualmente (art. 11) la posibilidad que asiste a todo abonado de impedir, mediante un procedimiento sencillo y gratuito, el desvío de llamadas a su terminal por parte de terceros.

Especial consideración merecen las guías de abonados a los servicios de comunicaciones electrónicas, dada la difusión y el carácter público de las mismas. No obstante este carácter, los abonados, de acuerdo al art. 12, deberán ser informados con carácter previo a su inclusión de los fines de las guías. Cuando los datos se comuniquen a un tercero, deberá informarse igualmente del destinatario de dicha comunicación.

Se establece el derecho de los abonados a decidir si sus datos figuran o no en la guía, así como cuáles de ellos, en la medida en que tales datos sean pertinentes para la finalidad de la guía, y de comprobar, corregir o suprimir tales datos. Tales derechos se ejercerán de manera gratuita.

Esta regulación no será de aplicación, de acuerdo al art. 16, a las ediciones de guías producidas o puestas en el mercado antes de la entrada en vigor de la Directiva en los Estados miembros.

La regulación comunitaria no podía obviar, por otro lado, la normación del denominado spam. Sobre esta cuestión, la regla general especificada en el art. 13 es la del necesario consentimiento previo del abonado.

No obstante, se autoriza a que si una persona física o jurídica obtiene de sus clientes, en el marco de una venta de productos o servicios, la dirección de correo electrónico, pueda utilizarla para la venta directa de sus productos o servicios, siempre que se cumpla la condición de informar al cliente, de manera gratuita y sencilla, de la posibilidad de oponerse en cualquier momento, incluida la primera comunicación, a tal posibilidad.

En el supuesto de venta directa distinta de la anterior (llamadas telefónicas promocionales, por ejemplo) se establece igualmente la interdicción de las mismas si no media consentimiento del abonado o usuario, o si estos han manifestado su voluntad de no recibir dichas comunicaciones.

Volviendo al correo electrónico, se prohibe expresa y taxativamente, el envío de e-mails con fines de venta directa en los que se disimule u oculte la identidad del remitente, o que no contengan un dirección valida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones.

Todas las medidas reseñadas en nuestras consideraciones anteriores notendrían eficacia sino viene acompañadas de medidas técnicas que permiten su aplicación. De esta forma, el art. 14 establece la posibilidad, no inmediata, de establecer medidas que exijan a los fabricantes de determinados tipos de equipos utilizados en los servicios de comunicaciones electrónicas que fabriquen sus productos de forma que incluyan salvaguardas para garantizar la protección de los datos personales y la intimidad de usuarios y abonados.

En relación con lo indicado en el art. 1.3, el art. 15, establece la limitación del alcance de determinados derechos y garantías cuando tal medida constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática para la defensa de determinados intereses fundamentales de los estados democráticos [5].

En caso de violación de los derechos de usuarios y abonados se establecerán vías de recursos judiciales, de acuerdo a lo señalado por la Directiva 95/46.

El plazo para la transposición de la Directiva al Derecho de los Estados Miembros, concluirá el 31 de octubre de 2003, fecha en la que tendrá efecto la derogación de la Directiva 97/66 [6], a la que hasta aquí estudiada viene a sustituir.

[1] Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa altratamiento automatizado de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), DOCE L 201, 31.07.2002.

[2] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, DOCE L 281, 23.11.1995.

[3] "usuario", "datos de tráfico", "datos de localización", "comunicación", "llamada", "consentimiento", "servicio de valor añadido", y "correo electrónico".

[4] Como señala la Exposición de Motivos, "el suministro de información sobre riesgos de seguridad al abonado debe ser gratuito, salvo los costes nominales en que pueda incurrir el abonado al recibir o recoger la información, por ejemplo al cargar un mensaje de correo electrónico".

[5] Vid. SÁNCHEZ BRAVO, A., La protección del derecho a la libertad informática en la Unión Europea, Publicaciones de la Universidad de Sevilla, 1998; y "El Convenio del Consejo de Europa sobre Cibercrimen: control vs. libertades públicas", en Diario La Ley, nº 5528, 22.04.2002.

[6] Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, DO L 24, 30.01.1998.